Dieser Text erschien zuerst bei D 64 und steht unter der Lizenz CC BY-SA 4.0. Wir haben den Text mit einem Statement von Google ergänzt.

Ohne Vorwarnung scheint Google seine Bibliothek politischer Werbeanzeigen in der Europäischen Union abgeschaltet zu haben. Über die Werbebibliothek konnte nachverfolgt werden, welche politischen Anzeigen seit 2018 über Googles Dienste geschaltet wurden. Damit war die von Google unterhaltene Website ein zentrales Instrument, um die Verbreitung und die Inhalte politischer Werbekampagnen untersuchen und verfolgen zu können. Während sich in der Sammlung politischer Anzeigen andere Regionen wie Brasilien, Israel oder Großbritannien auswählen, sind die 27 EU-Mitgliedstaaten nicht mehr verfügbar.

„Alle bisher im Report aufgeführten EU-Wahlwerbeanzeigen bleiben weiterhin im Google Ads Transparency Center öffentlich zugänglich – vorbehaltlich der geltenden Aufbewahrungsrichtlinien“, schreibt Google dazu auf eine Anfrage von netzpolitik.org. Der EU Political Ads Transparency Report werde jedoch nicht mehr verfügbar sein.

Bis vor wenigen Tagen konnten Nutzer:innen über Googles Werbearchiv nachverfolgen, welche politischen Anzeigen in ihrem Land geschaltet wurden. Bis 2018 konnte man nachvollziehen, welche Parteien auf welchen Plattformen Anzeigen geschaltet hatten; einzelne Anzeigen konnten über eine Stichwortsuche gefunden und angesehen werden. Auch die angesprochenen Zielgruppen und wie viel Geld für die Kampagnen ausgegeben wurde, wurden dargestellt.

Heute lassen sich die Anzeigen zwar finden, etwa wenn man nach Parteien sucht. Ihr politischer Charakter wir jedoch nicht direkt sichtbar. So wie beispielhaft bei einer Wahlwerbung der SPD für eine Bundestagskandidatin. Dort lautet das von Google vergebene Label: „Hobbys, Spiele und Freizeitaktivitäten“.

Obwohl die Werbebibliothek bei Weitem nicht perfekt war, bot sie zumindest Anhaltspunkte, um nachvollziehen zu können, wie politische Akteure versuchen, Diskurse rund um Wahlen und gesellschaftlich relevante Themen zu gestalten. Die Bibliothek war somit nicht nur eine Sammlung von Online-Werbung, sondern auch ein Archiv demokratischer Willensbildung.

Google hat eine wichtige Datenquelle zerstört

Mit dem kommentarlosen Abschalten des Archivs hat Google nicht nur eine signifikante Datenquelle für zivilgesellschaftliche und wissenschaftliche Analysen von politischen Kampagnen zerstört. Die Löschung der eigenen Werbebibliothek durch Google wird auch die Arbeit von Aufsichtsbehörden in den kommenden Monaten sehr viel herausfordernder machen.

Hintergrund scheint Googles Ankündigung zu sein, in der Europäischen Union keine politische Werbung mehr über seine Dienste ausspielen zu wollen. Als Grund wird die bald greifende EU-Verordnung zu Transparenz und Targeting bei politischer Werbung angegeben. Die im April 2024 in Kraft getretene und ab dem 10. Oktober 2025 geltende Verordnung verpflichtet Anbieter, die ausdrückliche Einwilligung von Datensubjekten einzuholen, bevor ihre Daten zum Targeting verwendet werden dürfen.

Angesichts der weitverbreiteten „Consent Fatigue“ und der Einsicht, dass die Hürde der Einwilligung nur einigen wenigen Privilegierten, die die nötigen Ressourcen und Zeit haben, sich mit Cookie-Bannern und Einwilligungs-Screens auseinanderzusetzen, Schutz vor der Verarbeitung persönlicher Daten bietet, ist es enttäuschend, dass die Verordnung in diesem Punkt zu kurz greift. Relevanter ist, dass das Targeting und Profiling auf Grundlage sensibler persönlicher Daten wie Name, Geschlecht oder Religionszugehörigkeit ausnahmslos verboten werden. Auch Personen, die das jeweilige Wahlalter noch nicht erreicht haben, dürfen keine personalisierten Anzeigen ausgespielt bekommen.

Die Besonderheit der Verordnung ist jedoch, dass sie erstmals definiert, was politische Werbung überhaupt ist. Dabei wird klargestellt, dass nicht nur Anzeigen von politischen Kandidat:innen oder Parteien unter die Definition fallen, sondern auch Werbeanzeigen, die politische Themen betreffen, sogenannte „issue ads“. Anzeigen zu gesellschaftlichen Themen wie Klimawandel, körperlicher Selbstbestimmung oder dem Krieg in Gaza fallen somit in die Kategorie der politischen Werbung.

Keine politischen Anzeigen mehr bei Google und Meta

Angesichts dieser (geringfügigen) Einschränkungen ihrer Geschäftsmodelle haben sowohl Google als auch Meta angekündigt, in Zukunft keine politischen Anzeigen mehr in der EU ausspielen zu wollen – zu groß seien die Beschränkungen der Targeting-Möglichkeiten, und zu aufwendig sei es, „issue ads“ zu identifizieren. Paradoxerweise bedeutet aber auch die Ankündigung der Konzerne, in Zukunft keine politische Werbung mehr ausspielen zu wollen, „issue ads“ identifizieren zu müssen. Nur so könnten sie aussortiert und blockiert werden, um nicht in den Anwendungsbereich der Verordnung über politische Werbung zu fallen.

Durch das Wegfallen des Archivs zu politischer Werbung wird es für die Zivilgesellschaft und die Aufsichtsbehörden jedoch schwieriger, zu überprüfen, welche Anzeigen der Konzern in der Vergangenheit als politische Werbung eingestuft hat und welche nicht mehr geschaltet werden. Google ist für die mangelhafte Umsetzung seiner eigenen Werberichtlinien bekannt und es ist nicht unwahrscheinlich, dass es vielen Akteuren auch weiterhin gelingen wird, politische Anzeigen über Google zu schalten. Gleichzeitig wird das durch Meta und Google beschlossene de-facto-Moratorium für politische Werbung in der EU es zivilgesellschaftlichen und oppositionellen Kräften in Zukunft sehr viel schwieriger machen, ihre Botschaften zu verbreiten.

Erschwerte Kontrolle

Wer also in Zukunft verstehen möchte, wie politische Werbung demokratische Diskurse in der EU beeinflusst, muss die Nadel im Heuhaufen von Googles allgemeiner Werbebibliothek suchen, zu deren Einführung der Digital Services Act verpflichtet hat. Diese Datenbank fällt vor allem durch ihre Begrenztheit auf; es fehlen stichhaltige Informationen über das Targeting von Nutzer:innen und die Budgets von Werbekampagnen. Durch das Löschen der eigenen Werbebibliothek für politische Anzeigen schafft Google die Fiktion, nie politische Werbung in der EU angeboten zu haben. Der Konzern baut so Transparenz ab, verhindert zivilgesellschaftliche und wissenschaftliche Forschung und erschwert es Aufsichtsbehörden, zu überprüfen, ob er gegen die Auflagen der Verordnung zu Transparenz und Targeting bei politischer Werbung verstößt.

Dieses Beispiel zeigt erneut, dass Transparenz und gesellschaftliche Verantwortung nicht den Launen von Konzernen überlassen werden dürfen. Die Assimilierung der US-Tech-Konzerne an die Werte der Trump-Regierung hat eindrucksvoll demonstriert, wie schnell sich solche Launen ändern können. Anstatt uns also mit halbgaren Transparenzinitiativen abspeisen zu lassen, müssen wir auf echte Veränderung setzen. Ein Verbot personalisierter Werbung, das Ende des Einwilligungs-Theaters und lückenlose Transparenz, die ihren Namen verdient. In der Zwischenzeit sollten wir damit rechnen, dass dies nicht die letzte Transparenzinitiative war, die eingestampft wurde.

Von großen Datenabflüssen im Zusammenhang mit KI liest man aktuell ständig. Doch dieser ist anders; keine Prompt Injection, kein Jailbreak, sondern sträflich vernachlässigte Security-Basics bei der Infrastruktur eines KI-Betreibers – zumindest, wenn man den uns vorliegenden Informationen Glauben schenken darf. Und dafür spricht einiges.

Fast alle Firmen experimentieren aktuell mit KI. Wer vorsichtig ist, wirft dabei die eigenen Daten schon aus Datenschutzgründen nicht den großen KI-Anbietern wie OpenAI oder Anthropic zum Fraß vor, sondern betreibt das benutzte Large Language Model selbst. Es gibt ja genug leistungsfähige und offene KI-Systeme. Und wer das nicht komplett selbst leisten kann, greift gern auf von einer vertrauenswürdigen Firma im Geltungsbereich der DSGVO gehostete oder gemanagte Systeme zurück. Genau das bietet nach eigener Beschreibung die österreichische Firma Localmind:

„Localmind ist eine lokale & sichere KI-Plattform für Unternehmen, die eine individuelle und leistungsstarke KI-Lösung suchen. Für maximale Datensicherheit, volle Kontrolle und Unabhängigkeit von der Cloud.“

Wenn man selbst die Kontrolle hat, kann man die KI auch vertrauliches Material verarbeiten lassen und ihm Zugang zu den eigenen Servern gewähren, so die Logik dahinter. Das Problem dabei: Wenn ein solcher KI-Anbieter seine eigenen Systeme nicht ausreichend sichert, dann können Dritte diese einfach übernehmen und bekommen darüber Zugriff auf alles, was die KI lesen kann. Genau das gelang einem anonymen Datenforscher, der sich nach eigenen Angaben mit trivialen Mitteln Zugang zu den Systemen von Localmind verschaffen konnte – und von dort aus auch auf Systeme von deren Kunden.

Vom Test-System zum Vollzugriff

So bekam er demnach Zugriff auf Dokumente und Infrastruktur der Localmind-Kunden: E-Mail-Konten, CRM- und ERP-Systeme und vieles mehr standen ihm nach eigenen Angaben offen. Für den initialen Zugang genügte es laut ihm, sich auf einem öffentlich zugänglichen Localmind-System einen Account einzurichten, der offenbar sofort mit Admin-Rechten ausgestattet war. Gemäß den von Localmind veröffentlichten Erkenntnissen zu dem Vorfall handelte es sich dabei um „eine extern erreichbare Beta-Testinstanz“.

Von dort aus hangelte er sich weiter; alles, was er dazu benötigte, war nach seinen Angaben mit geringem Aufwand erreichbar. Localmind bestätigt, dass er von dort lesenden Zugang auf die interne Wissensdatenbank erlangte und:

„Diese Datenbank enthielt Informationen zu unserer Infrastruktur sowie Zugangsdaten, die nicht durchgehend nach heutigen Best Practices geschützt waren.“

Damit meinen sie wohl Dinge wie die uns als Beweis vorgelegten, einfachen Klartext-Passwörter für den Root-Zugang auf ihren Servern. Einige davon waren triviale Variationen von whatTheHell123$$$, was kaum als sicheres Passwort durchgehen kann.

Mit diesen nahezu unbeschränkten Zugangsrechten sammelte der Hacker weitere Belege für die Sicherheitsprobleme und deren Bedeutung ein. Da er sich als einer der Guten versteht, missbrauchte er diese nicht für Erpressung, sondern informierte die betroffenen Firmen und einige Pressevertreter – darunter heise security. In seinen Hinweis-Mails präsentierte er eine ganze Reihe von imposanten Datenschätzen: Neben diversen Chats finden sich darin Rechnungen, Verträge, eine schriftliche Stellungnahme vor einem Verwaltungsgericht, reihenweise Account-Daten, teilweise mit Zugangs-Tokens oder Passwörtern und vieles mehr.

Die betroffenen Firmen

Als potenziell betroffene Unternehmen listen die uns vorliegenden Dokumente gleich mehrere Banken und Behörden auf Kommunal- und Landesebene, Energieversorger, ein Bistum, Hotels und weitere — insgesamt über 150 Entitäten vornehmlich in Österreich und Deutschland. Ersten Recherchen zufolge sind allerdings nicht alle gleich stark involviert.

So versicherte ein von uns kontaktiertes Unternehmen, dass man lediglich einen vierstündigen Workshop mit einem Test-System bei Localmind absolviert habe. Die dabei verwendeten Daten seien „unkritisch“ gewesen. Die Landeshauptstadt Kiel erklärte gegenüber heise security, dass man ausschließlich Test-Systeme bei Localmind betrieben habe und dabei ausschließlich „Use Cases getestet werden, die weder personenbezogene Daten noch vertrauliche Daten verwenden“. Außerdem beteuert Localmind in einer Stellungnahme gegenüber heise security, dass es keine Hinweise darauf gäbe, dass auch on-premise — also bei den Kunden selbst gehostete LLMs von dem Datenabfluss betroffen seien.

Zumindest jetzt geht Localmind vorbildlich mit dem Vorfall um. Sie haben nach Bekanntwerden der Sicherheitsprobleme alle relevanten Systeme abgeschaltet, untersuchen diese aktuell und dokumentieren den aktuellen Informationsstand regelmäßig auf einer eigens dazu eingerichteten Seite. Ferner bieten sie betroffenen Kunden Unterstützung an, etwa beim Melden bei Datenschutzbehörden. Daran gibt es nichts auszusetzen.

Fragwürdige Disclosure

Es fragt sich, warum der Hacker nicht zunächst bei Localmind über die von ihm gefundenen Sicherheitsprobleme informierte und denen eine angemessene Zeitspanne einräumte, diese zu beseitigen. Das entspräche der allgemein üblichen Praxis bei White Hat Hackern. Doch aus seiner Sicht lassen sich die Sicherheitsprobleme der Firma nicht sinnvoll fixen; er sieht einen sicherheitstechnischen Totalschaden: „Sie haben offensichtlich den Großteil ihrer Infrastruktur und ihrer Produkte, die sie ihren Kunden als sichere Lösungen verkaufen wollen, mit Vibe Coding erstellt. Dabei zeigten sie eine so erstaunliche Nachlässigkeit und Inkompetenz bei der Umsetzung der grundlegendsten Sicherheitsmaßnahmen, dass man fast schon von Vorsatz ausgehen muss“, lautet sein harsches Fazit.

Ob es sich wirklich um ein systematisches Komplettversagen in Sicherheitsdingen handelt oder um eine Verkettung dummer Fehler, die zwar nicht passieren sollten — aber doch gelegentlich eintreten, lässt sich wohl erst nach einer ausführlichen Dokumentation der Sachverhalte durch Localmind abschließend beurteilen. Gemessen an ihrem bisherigen Umgang mit dem Vorfall steht zu hoffen, dass sie daran bereits arbeiten.

(ju)

Mehr als 40 Internetunternehmen aus ganz Europa sowie der Verband European DIGITAL SME Alliance, der 45.000 Unternehmen vertritt, haben sich in einem offenen Brief gegen die Chatkontrolle in der CSA-Verordnung gestellt. Sie fordern die Minister der EU-Länder auf, am 14. Oktober alle Maßnahmen abzulehnen, die die Implementierung von clientseitigem Scannen, Hintertüren oder Massenüberwachung privater Kommunikation erzwingen würden.

Solche Maßnahmen stehen derzeit im Gesetzesvorschlag der dänischen Ratspräsidentschaft. Die Bundesregierung hatte bislang solche Maßnahmen im EU-Rat abgelehnt, sich aber in letzter Zeit nicht mehr zu dieser Position bekannt. Nach Informationen von netzpolitik.org und D64 soll eine Entscheidung der Bundesregierung bis Mittwoch fallen.

Laut den unterzeichnenden Unternehmen mache der Ansatz der dänischen Ratspräsidentschaft das Internet nicht nur für alle unsicherer, sondern untergrabe auch das strategische Ziel der EU, ein höheres Maß an digitaler Souveränität zu erreichen. Das liege unter anderem daran, dass europäische Firmen mit der Chatkontrolle gezwungen würden, ihre Sicherheitsstandards zu untergraben, und sich Nutzer:innen dann anderen Anbietern zuwenden würden, die sich nicht an die Chatkontrolle-Regeln halten müssten. Das wiederum mache Europa abhängiger.

Schwächung der nationalen Sicherheit befürchtet

Zugleich werde die nationale Sicherheit der Staaten in Europa geschwächt, weil durch die Chatkontrolle geschaffene Hintertüren oder andere Scanning-Technologien zu Schwachstellen in der IT führten, die von feindlichen staatlichen Akteuren und Kriminellen ausgenutzt werden könnten, heißt es weiter im offenen Brief.

Der Brief weist zudem darauf hin, dass die Verpflichtung zum Scannen und Durchsuchen insbesondere kleine und mittlere Unternehmen (KMU) stärker benachteiligen würde. „Im Gegensatz zu großen Technologiekonzernen verfügen KMU oft nicht über die finanziellen und technischen Ressourcen, um Überwachungsmechanismen zu entwickeln und zu unterhalten, was bedeutet, dass die Einhaltung der Vorschriften unverhältnismäßige Kosten nach sich ziehen oder zum Marktaustritt zwingen würde“, so die Unterzeichnenden.

„EU muss Verschlüsselung schützen“

Digitale Souveränität könne nicht erreicht werden, wenn Europa die Sicherheit und Integrität seiner eigenen Unternehmen untergrabe, indem es clientseitiges Scannen oder andere ähnliche Werkzeuge oder Methoden vorschreibe. „Um in der globalen digitalen Wirtschaft führend zu sein, muss die EU den Datenschutz, das Vertrauen und die Verschlüsselung schützen“, so die Unternehmen.

Europäische Unternehmen böten ein Höchstmaß an Datenschutz und Privatsphäre, deswegen würden sich Kund:innen für diesen Unternehmen entscheiden und nicht für Big Tech. Die Chatkontrolle würde das untergraben. „Dies wird die europäische Innovation ersticken und die Dominanz ausländischer Anbieter zementieren“, so die Unternehmen.

Die Unterzeichnenden fordern die EU-Minister auf, die Chatkontrolle aus der Verordnung zu nehmen und stattdessen Maßnahmen zum Kinderschutz zu verabschieden, die wirksam und verhältnismäßig sind und mit Europas strategischem Ziel der digitalen Souveränität vereinbar seien.

Zivilgesellschaft mobilisiert gegen die Chatkontrolle

Die Verfasser:innen des Briefes stehen mit ihrer Ablehnung nicht allein. Seit Jahren reden sich Hunderte von IT-Expertinnen und Sicherheitsforschern, Juristinnen, Datenschützern, Digitalorganisationen, Tech-Unternehmen, Messengern, UN-Vertretern, Kinderschützern, Wächterinnen der Internetstandards, Wissenschaftlerinnen weltweit den Mund gegen die Chatkontrolle fusselig. Eine unglaubliche Breite der Zivilgesellschaft lehnt die Chatkontrolle ab, weil sie die größte und gefährlichste Überwachungsmaschine Europas werden würde.

Das Bündnis „Chatkontrolle stoppen“ ruft derzeit dazu auf, für die Abstimmung relevante Personen und Organisationen zu kontaktieren. Das sind vor allem die an der deutschen Positionsfindung beteiligten Bundesministerien sowie die Fraktionen und Abgeordneten der Regierungsparteien im Bundestag. Am besten wirken direkte E-Mails und Telefonanrufe oder auch rechtzeitig ankommende Briefe. Auf der Website des Bündnisses gibt es Tipps und Adressen, um selbst aktiv zu werden.

Gleichzeitig hat das Bündnis eine Last-Minute-Petition gestartet, in der es die Bundesregierung auffordert, sich im EU-Rat gegen die Chatkontrolle zu stellen.

Dokument

Offener Brief an die EU-Mitgliedstaaten zur vorgeschlagenen CSA Verordnung

Sehr geehrte Minister und Botschafter der EU-Mitgliedstaaten,

wir, die unterzeichnenden europäischen Unternehmen, sowie die European DIGITAL SME Alliance – die mehr als 45.000 digitale KMU in ganz Europa vertritt – schreiben Ihnen mit großer Besorgnis über die vorgeschlagene Verordnung zum sexuellen Kindesmissbrauch (CSA). Der Schutz von Kindern und die Gewährleistung, dass jeder in unseren Diensten und im Internet im Allgemeinen sicher ist, stehen im Mittelpunkt unserer Mission als datenschutzorientierte Unternehmen. Wir betrachten den Schutz der Privatsphäre als ein Grundrecht, das das Vertrauen, die Sicherheit und die Freiheit im Internet für Erwachsene und Kinder gleichermaßen gewährleistet. Wir sind jedoch davon überzeugt, dass der derzeitige Ansatz der dänischen Ratspräsidentschaft das Internet nicht nur für alle unsicherer macht, sondern auch eines der wichtigsten strategischen Ziele der EU untergräbt: ein höheres Maß an digitaler Souveränität zu erreichen.

Digitale Souveränität ist die strategische Zukunft Europas

In einer zunehmend instabilen Welt muss Europa in der Lage sein, seine eigene sichere digitale Infrastruktur, Dienste und Technologien im Einklang mit den europäischen Werten zu entwickeln und zu kontrollieren. Die einzige Möglichkeit, diese Risiken zu mindern, besteht darin, innovative europäische Technologieanbieter zu unterstützen.

Digitale Souveränität ist aus zwei Hauptgründen wichtig:

• Wirtschaftliche Unabhängigkeit: Die digitale Zukunft Europas hängt von der Wettbewerbsfähigkeit seiner eigenen Unternehmen ab. Würde man jedoch europäische Dienste dazu zwingen, ihre Sicherheitsstandards zu untergraben, indem sie alle Nachrichten, auch verschlüsselte, mittels clientseitigem Scannen überprüfen, würde dies die Sicherheit der Nutzer im Internet untergraben und den hohen europäischen Datenschutzstandards zuwiderlaufen. Daher werden europäische Nutzer – Privatpersonen wie Unternehmen – und Kunden aus aller Welt das Vertrauen in unsere Dienste verlieren und sich ausländischen Anbieter zuwenden. Dies wird Europa noch abhängiger von amerikanischen und chinesischen Tech-Giganten machen, die sich derzeit nicht an unsere Regeln halten, und die Wettbewerbsfähigkeit der EU mindern.
• Nationale Sicherheit: Die Verschlüsselung ist für die nationale Sicherheit unerlässlich. Die Forderung nach Hintertüren oder anderen Scanning-Technologien schafft unweigerlich Schwachstellen, die von feindlichen staatlichen Akteuren und Kriminellen ausgenutzt werden können und werden. Genau aus diesem Grund haben sich die Regierungen selbst von den vorgeschlagenen CSA-Scan-Verpflichtungen befreit. Dennoch werden viele sensible Informationen von Unternehmen, Politikern und Bürgern gefährdet sein, sollte die CSA-Verordnung verabschiedet werden. Sie wird die Fähigkeit Europas schwächen, seine kritischen Infrastrukturen, seine Unternehmen und seine Bürger zu schützen.

Die CSA-Verordnung wird das Vertrauen in europäische Unternehmen untergraben

Vertrauen ist ein Wettbewerbsvorteil für Europa. Dank der Datenschutz-Grundverordnung und der starken europäischen Datenschutzgesetzgebung haben europäische Unternehmen Dienste entwickelt, auf deren Datenschutz, Sicherheit und Integrität sich Nutzer weltweit verlassen. Dieser Ruf ist hart erarbeitet und verschafft den in Europa ansässigen Diensten ein Alleinstellungsmerkmal, mit dem die großen Tech-Monopole nicht mithalten können. Dies ist einer der wenigen, wenn nicht sogar der einzige Wettbewerbsvorteil, den Europa im Technologiesektor gegenüber den USA und China hat, doch die CSA-Verordnung droht diesen Erfolg zunichtezumachen.

Dieser Gesetzesentwurf würde die europäischen ethischen und auf den Schutz der Privatsphäre ausgerichteten Dienste schaden, indem er sie zwingt, genau die Sicherheitsgarantien zu schwächen, die europäische Unternehmen international auszeichnen. Dies ist besonders problematisch in einem Kontext, in dem die US-Regierung ihren Unternehmen ausdrücklich verbietet, die Verschlüsselung zu schwächen, selbst wenn dies durch EU-Recht vorgeschrieben ist.

Letztendlich wird die CSA-Verordnung ein Segen für US-amerikanische und chinesische Unternehmen sein, da sie Europa dazu bringt, seinen einzigen Wettbewerbsvorteil aufzugeben und die Türen für Big Tech noch weiter zu öffnen.

Widersprüche schwächen Europas digitale Ambitionen

Die EU hat sich verpflichtet, die Cybersicherheit durch Maßnahmen wie die NIS2, den Cyber Resilience Act und den Cybersecurity Act zu stärken. Diese Maßnahmen erkennen die Verschlüsselung als wesentlich für die digitale Unabhängigkeit Europas an. Die CSA-Verordnung darf diese Errungenschaften jedoch nicht untergraben, indem sie systemische Schwachstellen vorschreibt.

Es ist inkohärent, wenn Europa mit der einen Hand in die Cybersicherheit investiert und mit der anderen Hand Gesetze gegen sie erlässt.

Die europäischen KMU werden am stärksten betroffen sein

Kleine und mittlere Unternehmen (KMU) wären am stärksten betroffen, wenn sie verpflichtet würden, clientseitiges Scannen einzuführen. Im Gegensatz zu großen Technologiekonzernen verfügen KMU oft nicht über die finanziellen und technischen Ressourcen, um Überwachungsmechanismen zu entwickeln und zu unterhalten, was bedeutet, dass die Einhaltung der Vorschriften unverhältnismäßige Kosten nach sich ziehen oder zum Marktaustritt zwingen würde. Darüber hinaus bauen viele KMU ihre einzigartige Marktposition darauf auf, dass sie ein Höchstmaß an Datenschutz und Privatsphäre bieten, was insbesondere in Europa für viele ein entscheidender Faktor dafür ist, dass sie sich für ihre Produkte entscheiden und nicht für die Produkte von Big Tech. Eine Verpflichtung zum clientseitigen Scannen würde dieses zentrale Versprechen vieler europäischer Unternehmen untergraben.

Dies wird die europäische Innovation ersticken und die Dominanz ausländischer Anbieter zementieren. Anstatt ein lebendiges, unabhängiges digitales Ökosystem aufzubauen, riskiert Europa, seine eigenen Unternehmen per Gesetz aus dem Markt zu drängen.

Aus diesen Gründen fordern wir Sie auf:

• Lehnen Sie Maßnahmen ab, die die Implementierung von clientseitigem Scannen, Hintertüren oder Massenüberwachung privater Kommunikation erzwingen würden, wie wir sie derzeit im dänischen Vorschlag sehen.
• Schutz der Verschlüsselung zur Stärkung der europäischen Cybersicherheit und digitalen Souveränität.
• Bewahren Sie das Vertrauen, das europäische Unternehmen international aufgebaut haben.
• Stellen Sie sicher, dass EU-Regulierung die Wettbewerbsfähigkeit der europäischen KMUs stärkt, anstatt sie zu untergraben.
• Verabschieden Sie Maßnahmen zum Kinderschutz, die wirksam und verhältnismäßig sind und mit Europas strategischem Ziel der digitalen Souveränität vereinbar sind.

Digitale Souveränität kann nicht erreicht werden, wenn Europa die Sicherheit und Integrität seiner eigenen Unternehmen untergräbt, indem es clientseitiges Scannen oder andere ähnliche Tools oder Methoden vorschreibt, die zum Scannen verschlüsselter Daten entwickelt wurden. Technologieexperten haben erneut bestätigt, dass dies nicht möglich ist, ohne die Verschlüsselung zu schwächen oder zu untergraben. Um in der globalen digitalen Wirtschaft führend zu sein, muss die EU den Datenschutz, das Vertrauen und die Verschlüsselung schützen.

Unterzeichner:

• Blacknight (Irland)
• Commown (Frankreich)
• CryptPad (Frankreich)
• Ecosia (Deutschland)
• Element (Deutschland)
• E-Foundation (Frankreich)
• European Digital SME Alliance (EU-Wirtschaftsverband, der 45.000 KMU in der EU vertritt)
• Anwaltskanzlei Fabiano (Italien)
• FlokiNET (Island)
• FFDN (Frankreich)
• Gentils Nuages (Frankreich)
• Hashbang (Frankreich)
• Heinlein Group (Deutschland)
• LeBureau.coop (Frankreich)
• Logilab (Frankreich)
• mailbox (Deutschland)
• Mailfence (Belgien)
• Mailo (Frankreich)
• Murena (Frankreich)
• Nextcloud (Deutschland)
• Nord Security (Litauen)
• Nym (Frankreich / Schweiz)
• Octopuce (Frankreich)
• Olvid (Frankreich)
• OpenCloud (Deutschland)
• OpenTalk (Deutschland)
• Phoenix R&D (Deutschland)
• Proton (Schweiz)
• Skylabs (Irland)
• SMSPool (Niederlande)
• Sorware Ay (Finnland)
• Soverin (Niederlande)
• Startmail (Niederlande)
• Surfshark (Niederlande)
• TeleCoop (Frankreich)
• The Good Cloud (Niederlande)
• Tuta Mail (Deutschland)
• Volla Systeme GmbH (Deutschland)
• WEtell (Deutschland)
• Wire (Schweiz)
• XWiki SAS (Frankreich)
• zeitkapsl (Österreich)