Der Chaos Computer Club zeichnet zusammen mit mehr als fünfzig weiteren Bürgerrechtsorganisationen und Verbänden einen offenen Brief, in dem die Empfehlungen einer EU-Arbeitsgruppe zurückgewiesen werden, die einen unbeschränkten Zugang zu allen personenbezogenen Daten fordern – ganz losgelöst von technischen oder rechtlichen Realitäten.

In dem offenen Brief fordern wir die Politik nachdrücklich auf, diesen gefährlichen Kurs sofort zu stoppen. Diese fehlgeleiteten und überzogenen Empfehlungen dürfen keinesfalls als Grundlage für die zukünftige EU-Agenda dienen. Die Arbeitsgruppe muss dichtgemacht werden, denn legitimiert ist der Geheimtrupp ohnehin nicht.

Der Mythos „Going Dark“: Massenüberwachung darf nicht Ziel der EU-Agenda werden

Was von Strafverfolgern bedrohlich als „Going Dark“ bezeichnet wird, beschreibt lediglich die Tatsache, dass Privatpersonen, Staat und Wirtschaft endlich alle Daten routinemäßig verschlüsseln, um sich vor Kriminellen und Spionage zu schützen. Die Empfehlungen einer sogenannten High Level Working Group (HLG) zu Datenzugriff und Strafverfolgung drohen, diese mühsam errungenen Fortschritte wieder zu untergraben. Die Empfehlungen der überaus einseitig besetzten Arbeitsgruppe der EU-Kommission bedrohen damit nicht nur fundamentale Grundrechte, sondern gefährden auch die IT-Sicherheit in inakzeptablem Maße und schaffen die Grundlage für eine umfassende Überwachung, die alles bisher Geforderte noch übertrifft.

Access by Design statt Privacy by Design

Der Versuch, staatlichen Stellen Zugang zu verschlüsselter Kommunikation zu verschaffen, ist nicht neu. Die HLG empfiehlt zwar nicht explizit Hintertüren in der Ende-zu-Ende-Verschlüsselung, fordert aber den Zugriff auf entschlüsselte Daten. Wie das praktisch funktionieren und umgesetzt werden soll, bleibt einmal mehr unklar. Die Forderung basiert auf der Illusion, dass technische Lösungen und Innovationen irgendwann das Unmögliche möglich machen könnten. Dabei hat sich in der Vergangenheit ein ums andere Mal gezeigt, dass staatliche Stellen nicht verantwortungsvoller mit den gesammelten Daten umgehen können als Kriminelle im Netz und dass die Hintertüren zudem ein gefundenes Fressen für ausländische oder außereuropäische staatliche und nichtstaatliche Schnüffler sind. [7]

Vorratsdatenspeicherung, nur mit noch mehr Daten

Die HLG schlägt eine Vorratsdatenspeicherung aller Internetdaten vor, die von den Diensteanbietern umgesetzt werden soll. Damit meinen die Vertreter der Strafverfolger und Geheimdienste in der Geheimtruppe nicht nur klassische Kommunikationsdaten wie IP-Adressen oder Port-Nummern, sondern wollen die Speicherpflichten auf alle möglichen Internetdiensteanbieter und alle Online-Dienstleister ausweiten. Das Ziel: Jede Online-Aktivität verfolgen und identifizieren zu können. Das wären dann neue Mitwirkungs- und Speicherpflichten für fast alle Branchen, die heute eben auch digitale Dienste anbieten – ein Schlag für den Wirtschaftsstandort Europa, der seinesgleichen sucht.

Wer jetzt dachte, dass jeder mit Hirn bei solchen Empfehlungen der Arbeitsgruppe lachend abwinken würde, der hat jedenfalls den EU-Rat falsch eingeschätzt: Hier stießen die Forderungen auf offene Ohren. Die EU-Innenminister begrüßten den Irrsinn im Sommer sogleich und wollen ihn zügig umgesetzt sehen.

Der Brief im Original: Open Letter on HLG Access to Data for Effective Law Enforcement Recommendations.

Offener Brief für ein sicheres und die Grundrechte wahrendes digitales Ökosysten in der Europäischen Union

Sehr geehrte Minister*innen,

wir, die unterzeichnenden Berufsverbände, Medien- und Menschenrechtsorganisationen, Gewerkschaften und Technologieunternehmen, schreiben Ihnen, um die Notwendigkeit einer EU-Agenda für digitale Sicherheit zu unterstreichen. Diese muss Gerechtigkeit, Verantwortlichkeit und die Achtung der Grundrechte gewährleisten und die Entwicklung eines sicheren digitalen Ökosystems unterstützen.

In diesem Zusammenhang möchten wir unsere Bedenken bezüglich der Empfehlungen und des Berichts der „High-Level Group über den Zugang zu Daten für eine wirksame Strafverfolgung“ (HLG) mit Ihnen teilen.[1] Angesichts des übergeordneten Ziels der HLG, den Strafverfolgungsbehörden den größtmöglichen Zugang zu personenbezogenen Daten zu gewähren, sehen wir grundlegende Risiken einer Massenüberwachung sowie erhebliche Gefahren für die Sicherheit und für den Schutz der Privatsphäre, wenn diese Empfehlungen als Grundlage für künftige politische Maßnahmen und Rechtsvorschriften der EU herangezogen würden.

Wir fordern Sie daher dringend auf, die folgenden Empfehlungen bei der Festlegung der EU-Prioritäten in diesem Politikbereich zu berücksichtigen.

Achtung der Grundrechte und Gewährleistung der Sicherheit und Vertraulichkeit im digitalen Raum

Wir möchten davor warnen, den Strafverfolgungsbehörden uneingeschränkte Kompetenzen einzuräumen, die zu einer Massenüberwachung führen und die Grundrechte verletzen können.

Insbesondere sind wir äußerst besorgt über das von der HLG unterstützte Konzept des „lawful access by design“ [2], das darauf abzielt, den Zugang der Strafverfolgungsbehörden zu Daten in die Entwicklung aller Technologien einzubeziehen. In der Praxis würde das die systematische Schwächung aller digitalen Sicherheitssysteme erfordern – einschließlich, aber nicht beschränkt auf Verschlüsselung. Dies würde die Sicherheit und Vertraulichkeit elektronischer Daten und Kommunikation untergraben, die Sicherheit aller Menschen gefährden und ihre Grundrechte massiv einschränken. Das Konzept steht im klaren Widerspruch zu den seit langem bestehenden Empfehlungen von Menschenrechtsorganisationen, Datenschutz- und IT-Sicherheitsexperten und nicht zuletzt zur Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR).[3]

Wir empfehlen daher, alle Maßnahmen zu verwerfen, die den Schutz von Verschlüsselung umgehen oder abschwächen könnten, da sie die Sicherheit und den Schutz der Privatsphäre von Millionen von Menschen und öffentlichen Einrichtungen gefährden und unweigerlich das gesamte digitale Informationsökosystem schädigen würden.

Darüber hinaus möchten wir daran erinnern, dass alle künftigen EU-weit harmonisierten Regelungen zur Vorratsdatenspeicherung und zum Datenzugriff[4] die im EU-Recht und in der ständigen Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) und des EGMR zum Schutz der Grundrechte vor Massenüberwachung verankerten rechtlichen Anforderungen an Notwendigkeit und Verhältnismäßigkeit beachten müssen. In dieser Hinsicht ist die vorgeschlagene Ausweitung der Verpflichtung zur Vorratsdatenspeicherung auf praktisch alle Dienste der Informationsgesellschaft, einschließlich des Internets der Dinge und internetgestützter Dienste[5], besonders bedenklich, da sie die ungezielte und wahllose Speicherung personenbezogener Daten erfordern würde. Diese umfassende und allgemeine Überwachung könnte bei der gesamten Bevölkerung das Gefühl hervorrufen, dass ihr Privatleben ständig überwacht wird. Dies ist unvereinbar mit den genannten Voraussetzungen.

Wahrung des Rechts auf Privatsphäre und der Unverletzlichkeit geschützter Informationen

Auch wenn das Recht auf Privatsphäre und Vertraulichkeit der Kommunikation nicht absolut ist, muss jeder Eingriff in die Grundrechte den Grundsätzen von Rechtmäßigkeit, Notwendigkeit und Verhältnismäßigkeit entsprechen. Eine allgemeine und wahllose Vorratsspeicherung personenbezogener Daten, die die Erstellung detaillierter Profile von Personen ermöglicht, sowie Maßnahmen, die die Sicherheit der gesamten privaten Kommunikation untergraben, entsprechen nicht diesen Grundsätzen.

Diese allgemeinen und ungezielten Maßnahmen betreffen auch Personen, deren Kommunikation dem Berufsgeheimnis unterliegt, etwa Ärzt*innen und ihre Patient*innen, Journalist*innen und ihre Quellen, Rechtsanwält*innen und ihre Mandant*innen sowie Sozialarbeiter*innen und ihre Klient*innen. Der für diese Kommunikation gewährte Rechtsschutz ist die unabdingbare Voraussetzung für die wirksame Ausübung anderer Grundrechte durch alle Bürger*innen, einschließlich des Rechts auf ein faires Verfahren und effektive Verteidigung, der Freiheit der Meinungsäußerung und der Informationsfreiheit, der Medien- und Pressefreiheit, der Gedanken- und Religionsfreiheit, der Versammlungs- und Vereinigungsfreiheit sowie des Rechts auf Sozialhilfe und Gesundheitsfürsorge.

Wir sind besorgt, dass die geplanten weitreichenden Befugnisse der Strafverfolgungsbehörden zum Zugriff auf Daten die Vertraulichkeit geschützter Kommunikation und damit verbundene Grundrechte beeinträchtigen würden. Es besteht die Gefahr, dass diese Maßnahmen missbraucht werden, um Journalist*innen, Menschenrechtsverteidiger*innen, Anwält*innen, Aktivist*innen und politische Dissident*innen zu verfolgen. Zur Wahrung dieser Grundrechte ist es entscheidend, dass die EU die Unverletzlichkeit von Daten und anderen Beweismitteln garantiert, die durch das Berufsgeheimnis geschützt sind.

Unterstützung eines sicheren, vertrauenswürdigen und diversifizierten digitalen Ökosystems

Verantwortungsbewusste Gerätehersteller und Diensteanbieter haben erhebliche Ressourcen in die Verbesserung der Sicherheit ihrer Geräte und der Zuverlässigkeit ihrer Dienste investiert. Diese Innovationen erfüllen nicht nur die Anforderungen der zunehmend datenschutzbewussten Nutzer*innen, sondern auch die der Regulierungsbehörden, die für die Durchsetzung hoher Standards in den Bereichen Cybersicherheit und Datenschutz zuständig sind. Die EU verfügt über einen einzigartigen Vorteil dank eines Datenschutzrahmens, der einen hohen rechtlichen Standard für den Schutz der Grundrechte und -freiheiten der Menschen in einer Welt setzt, in der die Privatsphäre ständig angegriffen wird.

Leider könnte die Fähigkeit der europäischen Bevölkerung, auch in Zukunft vertrauenswürdige digitale Werkzeuge zu wählen, durch die Vorstellungen der HLG untergraben werden. Sie empfiehlt, den Betreibern umfangreiche und teilweise widersprüchliche Verpflichtungen aufzuerlegen. So sollen sie gezwungen werden, mehr Nutzer*innendaten zu sammeln und aufzubewahren, als für die Erbringung ihrer Dienste erforderlich ist, die Überwachung in Echtzeit[6] zu ermöglichen und den Strafverfolgungsbehörden entschlüsselte Daten zur Verfügung zu stellen – und das alles, ohne die Sicherheit ihrer Systeme zu gefährden. Trotz der erklärten Absicht der HLG, die digitale Sicherheit nicht zu untergraben, gibt es tatsächlich keine technische Möglichkeit, das Versprechen durch Ende-zu-Ende-Verschlüsselung geschützter Kommunikation zu brechen, ohne die Sicherheit der Kommunikationssysteme zu schwächen. Eine für die Strafverfolgung gedachte Hintertür – oder ein anderer Umgehungsmechanismus – kann immer auch von anderen Akteuren ausgenutzt werden, wie zahlreiche Beispiele gezeigt haben.[7]

Schließlich skizziert die HLG auch einen besorgniserregenden Durchsetzungsrahmen, der harte Sanktionen zur Abschreckung und Bestrafung für die Nichteinhaltung von EU-Verpflichtungen und Rechtsdurchsetzungsanordnungen vorsieht (Verwaltungsmaßnahmen, Handelsverbote bis hin zu Haftstrafen).[8] Wir sehen hier die Gefahr, dass zuverlässige Anbieter sicherer Dienste entweder vom EU-Markt verdrängt werden oder ihre Tätigkeit einstellen müssen, wenn es sich um kleine oder gemeinnützige Unternehmen handelt – oder dass sie an der Entwicklung sicherer Lösungen gehindert werden, wenn sie in der EU niedergelassen sind. Dies wäre natürlich allen Initiativen und Ambitionen der EU im Bereich der Cybersicherheit äußerst abträglich.

Wir sind uns darüber im Klaren, dass die den Strafverfolgungsbehörden zur Verfügung stehenden Ermittlungsmaßnahmen dem digitalen Zeitalter angemessen sein und den einzigartigen Herausforderungen, die grenzüberschreitende Online-Dienste mit sich bringen, wirksam begegnen müssen. Effizienz sollte jedoch nicht auf Kosten einer Schwächung der Grundrechte, des Rechtsschutzes und der europäischen Wirtschaft erreicht werden. Wir sind davon überzeugt, dass diese Ziele des Gemeinwohls mit weniger einschneidenden Maßnahmen erreicht werden können als mit Massenüberwachung und der systematischen Schwächung wesentlicher Sicherheitsgarantien.

Wir danken Ihnen im Voraus und stehen Ihnen bei Fragen gern zur Verfügung.

Links und weiterführende Information:

• [1] Empfehlungen der High-Level Group für den Zugang zu Daten für eine wirksame Strafverfolgung
• [2] Empfehlungen 22, 23, 25, 26
• [3] Im Fall PODCHASOV v. RUSSLAND entschied der EGMR, dass eine allgemeine Verpflichtung zur Schwächung der Verschlüsselung in einer demokratischen Gesellschaft unverhältnismäßig ist und stellte fest, dass Entschlüsselungsverpflichtungen „mutmaßlich nicht auf bestimmte Personen beschränkt werden können und wahllos jeden gleichermaßen treffen würden – auch Personen, die keine Bedrohung für ein legitimes staatliches Interesse darstellen Interesse“.
• [4] Empfehlungen 27 bis 32
• [5] Empfehlung 27 ii
• [6] Empfehlung 38
• [7] So waren beispielsweise die eingebauten Schwachstellen der TLS/SSL-Protokolle ein Jahrzehnt lang auf Regierungswebsites zu finden, bevor sie im Jahr 2015 gepatcht wurden: https://blog.cryptographyengineering.com/2015/03/03/attack-of-week-freak-or-factoring-nsa/ . Durch den Hack der rechtmäßigen Abhöreinrichtungen von Vodafone in Griechenland (die sogenannte „Athener Affäre“), wurde das Abhören von über 100 Politikern ermöglicht, was schwerwiegende Folgen für die nationale Sicherheit hatte. Ein weiteres Beispiel aus jüngster Zeit ist der massive Cyberangriff, bei dem über die Kanäle, die von der US-Regierung für gerichtlich genehmigte Abhören von Breitbandnetzen eingerichtet wurden, in die Breitbandnetze der Vereinigten Staaten eingedrungen wurde, darunter AT&T und Verizon: https://www.wsj.com/tech/cybersecurity/u-s-wiretap-systems-targeted-in-china-linked-hack-327fc63b
• [8] Empfehlungen 33 bis 36