Führende Cybersicherheitsexperten äußern in einem offenen Brief an den EU-Ministerrat ihre Sorge über den neuen Vorschlag der EU-Präsidentschaft für eine Verordnung gegen die Verbreitung von Darstellungen sexuellen Kindesmissbrauchs, der eine gemeinsame Kompromisslinie der Mitgliedsstaaten zur freiwilligen Chatkontrolle festschreibt. Die Einigung soll Online-Diensten wie Messenger-Betreiber dauerhaft das freiwillige Scannen privater Kommunikation ermöglichen.

Die Wissenschaftler begrüßen zwar ausdrücklich, dass die verpflichtende geräteinterne Erkennung von Missbrauchsmaterial aus dem neuen Entwurf gestrichen wurde. Dies verbessere die Balance zwischen Kinderschutz, IT-Sicherheit und Privatsphäre. Dennoch schlagen sie Alarm, dass andere Aspekte des Vorschlags weiterhin erhebliche gesellschaftliche Risiken ohne klaren Mehrwert für den Kinderschutz mit sich brächten.

Zentraler Kritikpunkt ist die Ausweitung des Erkennungsumfangs. Durch den Verweis auf die bestehenden freiwilligen Aktivitäten von Anbietern wie Facebook, Google oder Microsoft unter der E-Privacy-Richtlinie würde die Option wiedereingeführt, Inhalte jenseits von Bildern und URLs zu analysieren, monieren die Forscher. Dies gelte insbesondere für Text und Video. Ferner solle es möglich werden, nach neu generiertem Missbrauchsmaterial zu suchen.

Fehlalarme könnten Unschuldige gefährden

Die Experten betonen unter Berufung auf frühere Warnungen, dass aktuelle KI-Technologie bei Weitem nicht präzise genug sei, um diese Aufgaben mit der notwendigen Genauigkeit zu erfüllen. Falschmeldungen seien aufgrund der inhärenten Grenzen der Technik und der kontextabhängigen Natur der zu identifizierenden Verhaltensweisen unvermeidlich. Die Ausweitung auf Text- und Videoformate werde die bereits sehr hohe Zahl an Fehlalarmen weiter steigern.

Die Überwachung von Textnachrichten könnte zu Fehleinschätzungen bei harmlosen Interaktionen zwischen Verwandten, engen Freunden oder Jugendlichen führen, bringen die Unterzeichner ein Beispiel. Diese Massenüberwachung berge das Risiko, Ermittler mit falschen Anschuldigungen zu überfluten und sie von der Verfolgung echter Fälle abzuhalten, was den Gesamtschutz verringern würde.

Ebenso scharf wenden sich die Wissenschaftler gegen die geplante obligatorische Altersverifikation für als risikoreich eingestufte Dienste wie Ende-zu-Ende-verschlüsselte Kommunikationsdienste und App-Stores. Sie geben zu bedenken, dass das Hinzufügen von Alterskontrollen nicht zwangsläufig zusätzliche Sicherheit bedeute, insbesondere wenn die Inhalteerkennung ineffektiv sei.

Die Altersprüfung sei mit derzeitig verfügbaren Technologien nicht datenschutzkonform durchführbar, da sie auf biometrische, verhaltensbasierte oder kontextuelle Informationen wie den Browserverlauf angewiesen sei. Die zunehmend verwendeten KI-Methoden wiesen hohe Fehlerraten auf und seien gegenüber bestimmten Minderheiten voreingenommen, was ein unverhältnismäßiges Risiko für schwerwiegende Datenschutzverletzungen und Diskriminierung darstelle.

Streit über obligatorische Alterschecks

Auch die Altersverifikation mit offiziellen Ausweisdokumenten ist den Autoren zufolge unverhältnismäßig, da sie deutlich mehr Informationen als nur das Alter preisgebe. Datenschutzfreundliche Lösungen, die auf Kryptografie basieren, könnten wiederum Abhängigkeiten von spezifischer Hardware oder Software schaffen und so Nutzer diskriminieren, die nicht über die neueste Technologie verfügten. Überdies könnten Alterskontrollen einfach umgangen werden.

Schließlich betonen die Experten, dass auch die freiwillige Anwendung von Überwachungstechniken auf Endgeräten kein vertretbares Mittel zur Risikominderung darstelle. Der potenzielle Schaden und das Missbrauchspotenzial seien enorm – der Nutzen unbewiesen. Das Melden von Scan-Ergebnissen an Dritte wie Strafverfolgungsbehörden könnte dazu führen, dass der Dienstleister keine durchgehende Verschlüsselung mehr beanspruchen könne. Jede Kommunikation, deren Inhalt gescannt und gemeldet werden könne, gelte nicht länger als sicher oder privat und untergrabe so die Basis einer widerstandsfähigen digitalen Gesellschaft.

Zu den insgesamt 18 internationalen Unterzeichnern gehören prominente Vertreter der IT-Security- und Kryptografieforschung. Aus Deutschland sind Cas Cremers vom CISPA Helmholtz-Zentrum für Informationssicherheit, Anja Lehmann von der Universität Potsdam, Kai Rannenberg von der Uni Frankfurt und Carmela Troncoso vom Max-Planck-Institut für Sicherheit und Privatsphäre dabei.

Der Kampf geht weiter

Auch Italien stellte vorige Woche laut einem geleakten Ratsprotokoll in Frage, ob im Rahmen freiwilliger Chatkontrolle das Recht auf Privatsphäre der Nutzer ausreichend gewahrt werden könne. Die Regierung in Rom befürchtet, das Instrument könne auf andere Delikte ausgeweitetwerden. Polen behielt sich ebenfalls eine weitere Prüfung vor.

Im jüngsten Gesetzentwurf der dänischen Ratspräsidentschaft heißt es ausdrücklich: „Keine Bestimmung dieser Verordnung ist so auszulegen, dass sie den Anbietern Aufdeckungspflichten auferlegt.“ Nächste Woche sollen die Ständigen Vertreter der EU-Staaten den Vorschlag befürworten, im Dezember die Justiz- und Innenminister.

Der Ex-EU-Abgeordnete und Bürgerrechtler Patrick Breyer spricht von einem Teilerfolg: „Wir haben die verpflichtende Chatkontrolle durch die Hintertür verhindert. Aber geplant sind weiter anonymitätszerstörende Alterskontrollen und ‚freiwillige‘ Massenscans.“ Der Kampf gehe daher nächstes Jahr weiter.

Breyer klagt zusammen mit einem Missbrauchsopfer gegen die freiwillige Chatkontrolle. Hierzulande dürfte eine solche Maßnahme nicht anwendbar sein, da Messaging-Dienste dem Fernmeldegeheimnis unterliegen. Anbieter dürfen sich daher nicht übers technische nötige Maß hinaus Kenntnis vom Inhalt oder von näheren Umständen der Telekommunikation verschaffen.

(vbr)