Die geplante Verordnung zur Behinderung und Bekämpfung von Kindesmissbrauch – die sogenannte „Chatkontrolle“
Der europäische Gesetzgebende plant, Anbietende von Messenger- und Hostingdiensten zum Auffinden von Materialien des sexuellen Online-Kindesmissbrauchs zu verpflichten, sämtliche private Kommunikation und Dateien zu durchleuchten. Aus datenschutzrechtlicher Sicht ist das Vorhaben höchst problematisch.
Die EU-Kommission hat im Mai 2022 einen Verordnungsentwurf zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern vorgelegt. Anbietende von Messenger- und Hostingdiensten sollen verpflichtet werden, sämtliche Kommunikation bzw. Daten ihrer Nutzenden auf Material, das sexuellen Kindesmissbrauch zeigt (sog. CSA-Material), zu durchleuchten. Außerdem sollen durch Scannen von Nachrichten Annäherungsversuche von Erwachsenen gegenüber Kindern in sexueller Missbrauchsabsicht (sog. Grooming) aufgedeckt werden. Neben dem Auslesen von Textnachrichten sieht der Entwurf auch das Abhören von Audiokommunikation vor. Wegen der geplanten umfassenden Durchleuchtung von privaten Textnachrichten wurde der Vorschlag auch unter dem Stichwort „Chatkontrolle“ bekannt.
Das Ziel, die Online-Verbreitung des sexuellen Kindesmissbrauchs zu stoppen, ist überaus wichtig und grundsätzlich zu unterstützen. Jedoch schießt der EU-Gesetzgebende mit seinem Vorschlag deutlich über das verfolgte Ziel hinaus. Denn die „Chatkontrolle“ bietet kaum Schutz für Kinder, wäre aber Europas Einstieg in eine anlasslose und flächendeckende Überwachung der privaten Kommunikation.
Der Verordnungsentwurf respektiert nach Einschätzung des BfDI weder die Vorgaben zur Verhältnismäßigkeit noch die Grundrechte, die deutschen Bürgerinnen und Bürgern nach der EU-Grundrechte-Charta und nach dem Grundgesetz zustehen. Denn der Vorschlag droht, die Ende-zu-Ende-Verschlüsselung zu durchbrechen, indem Inhalte privater Kommunikation derjenigen Dienste, die von der zuständigen Behörde eine sog. Aufdeckungsanordnung erhalten haben, flächendeckend gescannt werden sollen. Von einem solchen Scannen sind keine Ausnahmen vorgesehen, auch nicht für Berufsgeheimnistragende. Das heißt, es würde z.B. auch die vertrauliche Kommunikation zwischen Anwältinnen und Anwälten und ihren Mandantinnen und Mandaten oder zwischen Ärztinnen und Ärzten und ihren Patientinnen und Patienten erfasst. Durch ein Durchbrechen der Ende-zu-Ende-Verschlüsselung drohen Sicherheitslücken, die auch von Kriminellen genutzt werden könnten. Als alternative Möglichkeit sollen Dienste direkt auf dem jeweiligen Gerät der Nutzenden Inhalte auslesen können (sog. Client-Side-Scanning). Dies führt zu eklatanten Verstößen gegen die Achtung des Privatlebens nach Art. 7 der EU-Grundrechte-Charta und gegen das Fernmeldegeheimnis nach Art. 10 Absatz 1 Grundgesetz.
Außerdem weisen die Technologien, die zum Auffinden des CSA-Materials eingesetzt werden sollen, zum Teil noch Fehlerquoten von bis zu 12% auf. Dadurch könnten bei einem Dienst wie beispielsweise WhatsApp mit insgesamt circa zwei Milliarden Nutzenden weltweit bis zu 240 Millionen Nutzende zu Unrecht der Verbreitung von CSA-Material beschuldigt werden.
Datenschutzaufsichtsbehörden sollen sich vor dem Einsatz der jeweiligen Technologien nur mit unverbindlichen Stellungnahmen beteiligen können. Sobald eine Technologie einmal eingesetzt wird, ist eine Beteiligung jedoch nicht mehr vorgesehen. Diese eingeschränkte Rolle der Datenschutzbehörden hält der BfDI bei derart schwerwiegenden, drohenden Grundrechtseingriffen für unzureichend.
Ein noch zu errichtendes EU-Zentrum soll eine Datenbank mit Verdachtsfällen führen, in der es erhaltene Berichte über (potentiellen) Kindesmissbrauchs sammelt. Diese werden von dem EU-Zentrum geprüft und an die nationalen Strafverfolgungsbehörden weitergeleitet.
Schließlich sieht der Verordnungsentwurf auch verpflichtende Alterskontrollen durch App- und Software-Stores und teilweise sogar den Ausschluss bestimmter Altersgruppen von Software-Anwendungen vor. Dies führt im Ergebnis zu einer ungewollten Zensur und macht es teilweise unmöglich, das Internet anonym oder pseudonym zu nutzen. Außerdem verstößt dies gegen die Vorgaben aus dem Koalitionsvertrag, da die Ampel-Koalition dort eine Identifizierungspflicht von Nutzenden ausdrücklich ablehnt. Ein Aufheben der Anonymität hätte insbesondere für Oppositionelle oder Whistleblower schwerwiegende Folgen.
Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDPS) haben den Verordnungsentwurf bereits in einer Gemeinsamen Stellungnahme im Juli 2022 sehr scharf kritisiert. Dem schließt sich der BfDI an und setzt sich gemeinsam mit seinen europäischen Kolleginnen und Kollegen für eine deutliche Nachbesserung der Verordnung ein. Der BfDI wird sich weiterhin dafür stark machen, dass die Chatkontrolle in dieser Form nicht realisiert wird. Grundrechte müssen gewahrt werden und auch stets beim Datenschutz und dem Schutz des Fernmeldegeheimnisses gelten. Sofern der EU-Gesetzgebende den Verordnungsentwurf nicht deutlich nachbessert, werde ich mich dafür einsetzen, dass die Verordnung in dieser Form nicht verabschiedet wird.