Die EU-Institutionen wollen Internet-Diensten weiterhin erlauben, die Kommunikation ihrer Nutzer freiwillig zu scannen, um sexuellen Missbrauch von Kindern zu suchen.

Das ist eigentlich verboten. Die Datenschutzrichtlinie für elektronische Kommunikation von 2002 schützt die Vertraulichkeit der Kommunikation. Ein Artikel verbietet das Überwachen von Nachrichten ohne Einwilligung der betroffenen Nutzer.

Seit 2021 gibt es eine „vorübergehende Ausnahme“ der Vertraulichkeit der Kommunikation. Eine Verordnung erlaubt Internet-Diensten, die Kommunikation ihrer Nutzer zu scannen, um sexuellen Missbrauch von Kindern zu bekämpfen. Diese Übergangsverordnung war eigentlich auf drei Jahre befristet. Im April 2024 wurde die Ausnahme um zwei Jahre verlängert.

Jetzt soll die Ausnahmeregelung zum zweiten Mal verlängert werden. Im Dezember hat die Kommission einen entsprechenden Vorschlag gemacht. Die EU-Staaten haben den Vorschlag letzte Woche unverändert angenommen. Im EU-Parlament hat die zuständige Berichterstatterin gestern einen überarbeiteten Vorschlag vorgelegt.

Ausnahme eigentlich außergewöhnlich

Die deutsche Sozialdemokratin Birgit Sippel hat dem Entwurf ein persönliches Statement beigefügt. Sie kritisiert, dass die Ausnahmeregelung eigentlich „streng befristet und außergewöhnlich“ sein sollte. Die CSA-Verordnung soll die Chatkontrolle dauerhaft regeln. Doch das seit 2022 verhandelte Gesetz ist bis heute nicht fertig. Die EU-Staaten haben erst im November ihre Position beschlossen, jetzt läuft der Trilog.

Die Berichterstatterin will die erneute Verlängerung daher auf ein Jahr begrenzen. Kommission und Rat fordern zwei Jahre. Internet-Dienste sollen ausschließlich nach Hash-Werten von bekanntem „Material über sexuellen Missbrauch von Kindern“ suchen. Kommission und Rat wollen auch unbekanntes Material und Grooming suchen. Ein Erwägungsgrund stellt klar, dass die Chatkontrolle Ende-zu-Ende-Verschlüsselung nicht „verbietet, schwächt oder untergräbt“.

Das Parlament kritisiert die Datenbasis, welche die Chatkontrolle begründen soll. Die EU-Kommission hat zwei Berichte zur freiwilligen Chatkontrolle erstellt. Doch die Daten reichen nicht aus, die Frage zu beantworten, ob die Chatkontrolle überhaupt verhältnismäßig ist. Sippel hält fest: „Die Faktenlage reicht nach wie vor nicht aus, um einen breiten Anwendungsbereich zu rechtfertigen.“

Trilog zur dauerhaften Chatkontrolle

Vertrauliche Kommunikation ist ein Grundrecht. Internet-Dienste dürfen in dieses Grundrecht nur eingreifen, wenn ein Gesetz das vorschreibt. Dieses Gesetz gibt es nicht. Der Eingriff muss notwendig und verhältnismäßig sein. Die Kommission kann die Verhältnismäßigkeit nicht belegen. Das hat auch der Europäische Datenschutzbeauftragte immer wieder kritisiert.

Trotzdem soll die „vorübergehende Ausnahme“ jetzt zum zweiten Mal verlängert werden. Als nächstes verhandelt das EU-Parlament den Entwurf. Im März soll das Parlament die Position beschließen.

Parallel dazu verhandeln die Gesetzgeber die CSA-Verordnung mit der dauerhaften Chatkontrolle. Der Trilog behandelt unter anderem die Frage, ob Anbieter auch gegen ihren Willen zur Chatkontrolle verpflichtet werden können.

Das Gesetz für digitale Dienste (Digital Services Act, DSA) verpflichtet sehr große Plattformen wie die chinesische Video-App TikTok dazu, ihre Risiken zu bewerten und sie zu mindern. Vor zwei Jahren hat die Europäische Kommission ein Verfahren gegen TikTok gestartet, um spezifisch das süchtig machende Design zu analysieren.

Heute hat die Behörde das vorläufige Ergebnis der Untersuchung geteilt: TikTok geht nicht effektiv genug gegen die Risiken vor. Diese Feststellung ist ein Schritt vor einer möglichen Strafe.

Besonders dramatisch bewertet die Kommission die Risiken für die mentale Gesundheit von Kindern und Jugendlichen, die ihre TikTok-Nutzung noch nicht so gut selbst steuern könnten. Viele Studien aus verschiedenen europäischen Ländern zeigten die stundenlange TikTok-Nutzung von Minderjährigen, die Öffnung der App etwa 20 Mal am Tag und die Nutzung nach Mitternacht, sagte ein Kommissionsbeamter heute gegenüber Journalist:innen. Allerdings seien auch andere Altersgruppen von der problematischen Nutzung betroffen.

Natürlich hätten Erziehungsberechtigte eine Verantwortung, auf die Social-Media-Nutzung von Kindern zu achten, sagte eine zweite Kommissionsbeamte. Doch auch Plattformen hätten eine Sorgfaltspflicht.

Tools zur Kontrolle der Bildschirmzeit sind nicht effektiv genug

Mittlerweile habe TikTok schon Optionen zur Kontrolle der eigenen Nutzungszeit eingeführt, doch diese sind laut der Kommission nicht effektiv genug. Pausen könnten sehr einfach durch die Eingabe des Codes „1234“ weggeklickt werden. Und auch das Tool für Eltern lasse zu wünschen übrig.

Die Kommission verlangt daher Änderungen in drei Bereichen: Erstens sollen Nutzer:innen dazu in der Lage sein, Push-Benachrichtigungen einfacher abzustellen. Ebenso soll das Design der Plattform bezüglich des Scrollings geändert werden. Zweitens soll das Empfehlungssystem von TikTok auch explizite Wünsche der Nutzer:innen anerkennen, anstatt nur implizit durch das Engagement gesteuert zu werden.

Der dritte Aspekt ist vielleicht der gravierendste. Die Kommission wünscht sich strengere Schutzmaßnahmen, darunter verpflichtende Begrenzungen der Bildschirmzeit, verpflichtende Pausen und eine nächtliche Sperre. Das würde bedeuten, dass die App nach einer bestimmten Zeit und zu gewissen Uhrzeiten nicht mehr genutzt werden kann. Diese Maßnahmen würden nicht nur Minderjährige treffen, sondern alle Nutzer:innen.

TikTok war bisher „kooperativ“

Diese Änderungen gehen an den Kern des App-Designs, das gibt auch die Kommission zu. Gleichzeitig betonen die Beamten, wie kooperativ TikTok in den letzten zwei Jahren gewesen sei. Sie erinnern daran, dass die neue App „TikTok Lite“ damals in der EU zurückgezogen wurde, nachdem die Kommission vor dem Belohnungssystem warnte. „In unserer Erfahrung können wir durch Diskussionen Fortschritte erzielen“, sagte die Kommissionsbeamte.

TikTok hat nun die Gelegenheit, auf die Vorwürfe zu antworten und das System entsprechend anzupassen. Eine genaue Frist dafür gibt es nicht. Sollte die Kommission nicht mit TikToks Reaktion zufrieden sein, könnte sie im letzten Schritt einen Verstoß feststellen und eine Strafe verhängen. Das geschah im Dezember mit X zum ersten Mal in der Laufbahn des Gesetzes für digitale Dienste.

Wegen ähnlichen Vorwürfen laufen auch Verfahren gegen Facebook und Instagram. Die TikTok-Untersuchung sei lediglich zuerst gekommen und kein Zeichen, dass Plattformen unterschiedlich behandelt würden, sagte ein Kommissionsbeamter auf Nachfrage von Journalist:innen.

Als Teil der Untersuchung zum süchtig machenden Design von TikTok schaut die Kommission auch darauf, wie sicher Minderjährige auf der Plattform sind. Außerdem läuft noch ein paralleles Verfahren gegen TikTok zur Desinformation und Einmischung in Wahlen, welches im Anschluss an die Wahlen in Rumänien eröffnet wurde.

Die Deutsche Bahn bietet ab sofort die Anmeldung mit Passkeys in der App und auf der Webseite an. Das erhöht die Zugangssicherheit signifikant.

In der App und auf der Webseite der Deutschen Bahn ist nun die Anmeldung mittels Passkeys möglich. Bevor das klappt, müssen Interessierte sich natürlich erst einmal Passkeys für ihre Geräte erstellen. Das gelingt in den Konto-Einstellungen über den Punkt „Login und Sicherheit“ und dort den Klick auf die Schaltfläche „Zum Account-Manager“. Darin finden sich die Passkeys unter „Alternative Login-Methoden“.

Dort lassen sich neue Passkeys erstellen – eine Mengenbegrenzung nennt die Seite jedoch nicht. Bereits erstellte Passkeys lassen sich umbenennen oder auch wieder entfernen.

Passkey-Anmeldung ohne SMS-Zweitfaktor

Eine eigene FAQ auf der Webseite der DB erklärt die Nutzung von Passkeys. Die Anmeldung mit Passkeys erfolgt dann ohne die sonst genutzte Zwei-Faktor-Authentifizierung mit SMS. Die sind dem CCC zufolge ohnehin keine gute Idee und können sich abfangen lassen. Die Zugangssicherheit bei der Deutschen Bahn gewinnt daher deutlich.

Passkeys setzen auf eine kryptografische Absicherung von Zugängen, anstatt lediglich Benutzername und Passwort zu nutzen. Die althergebrachten Zugangsdaten sind anfällig für Phishing oder landen als Remix in Datensammlungen im Internet, wo sie Kriminellen als Ausgangspunkt für Kontoübernahmen dienen. Passkeys hingegen nutzen einen privaten Schlüssel auf dem Endgerät, der dieses dann mit dem Zugang verknüpft. Zum Anmelden erfolgt dann in der Regel eine biometrische Identitätsprüfung, etwa mittels Fingerabdruck, Gesichtsscan mit Kamera oder einer PIN. Das ist deutlich komfortabler als das Eingeben von Passwörtern.

Inzwischen beherrschen diverse Passwort-Manager die Verwaltung von Passkeys, sodass sie sogar geräteübergreifend nutzbar sind. Etwa Microsofts Edge arbeitet so als Passwort-Manager, der über die Cloud die Passkeys auf die weiteren Geräte der Nutzer synchronisiert und sie dort bereitstellen kann.

(dmk)