Auf der Webseite von Patrick Breyer findet sich der jüngste Entwurf der CSAM-EU-Verordnung mit der die Anordnung von Chatkontrollen in der EU möglich sein soll – die Verordnung versucht, das sensible Gleichgewicht zwischen dem Schutz der Privatsphäre und der effektiven Bekämpfung des sexuellen Missbrauchs von Kindern im Internet zu wahren.
Im Folgenden versuche ich die Schlüsselelemente des Verordnungsentwurfs vorzustellen und zu diskutieren, wie er versucht, die Integrität der Ende-zu-Ende-Verschlüsselung zu respektieren, während gleichzeitig wirksame Überwachungsmaßnahmen eingeführt werden.
Schlüsselelemente des Entwurfs
- Risikobewertung und -minderung: Der Entwurf fordert von Anbietern von Online-Diensten, das Risiko des sexuellen Missbrauchs von Kindern in ihren Diensten zu bewerten und angemessene Maßnahmen zur Risikominderung zu ergreifen.
- Erkennungsaufträge: Bei unzureichenden Minderungsmaßnahmen können die Behörden Erkennungsaufträge erteilen, die eine Überwachung bestimmter Dienste zur Identifizierung potenziellen Missbrauchs erlauben.
- Datenschutz und Verschlüsselung: Der Entwurf betont den Schutz von Datenschutz und Verschlüsselung. Anbieter dürfen nicht gezwungen werden, ihre Ende-zu-Ende-Verschlüsselung zu deaktivieren oder zu umgehen.
Die Herausforderung der Ende-zu-Ende-Verschlüsselung
Einer der komplexesten Aspekte dieses Entwurfs ist der Umgang mit der Ende-zu-Ende-Verschlüsselung, die mit dem EGMR für eine Demokratie essenziell ist. Während die Verordnung die Bedeutung der Verschlüsselung für die Privatsphäre und Sicherheit der Nutzer anerkennt, muss sie gleichzeitig effektive Mittel zur Bekämpfung des sexuellen Missbrauchs von Kindern bieten. Die angedachten Lösungsansätze in diesem Entwurf sind nun:
- Technologieeinsatz: Anbieter können Technologien einsetzen, die mit Verschlüsselung kompatibel sind, um Missbrauch zu erkennen, ohne die Kommunikation selbst zu analysieren.
- Nutzung von Metadaten und Verhaltensanalysen: Anstatt den Inhalt zu überwachen, könnten Anbieter auf Metadaten oder das Nutzerverhalten fokussieren, um potenziellen Missbrauch aufzuspüren.
- Transparente Kommunikation: Unternehmen sollen ihre Nutzer über die Maßnahmen zur Einhaltung der Verordnung und über durchgeführte Überwachungsmaßnahmen informieren.
Der Entwurf betont, dass Anbieter von Kommunikationsdiensten nicht verpflichtet werden sollen, ihre Ende-zu-Ende-Verschlüsselung zu schwächen oder zu umgehen. Dies respektiert das Recht der Nutzer auf Privatsphäre und die Sicherheit ihrer Kommunikation. Um dennoch potenziellen Missbrauch aufspüren zu können, könnten Technologien eingesetzt werden, die mit Ende-zu-Ende-Verschlüsselung kompatibel sind. Unternehmen könnten etwa Algorithmen einsetzen, die auf Metadaten (wie dem Kommunikationsverhalten) basieren, statt den Inhalt der Kommunikation selbst zu analysieren.
Wichtige Regelungen der EU-Plattformregulierung:
- AI-Act: Artificial Intelligence Act (KI-Verordnung und KI-Richtlinie) [Hier bei uns]
- CRA: Cyber Resilience Act [Hier bei uns]
- CSAM: Regulation on Child Sexual Abuse Material [Hier bei uns]
- DGA: Data Governance Act [Hier bei uns]
- Data Act: [Hier bei uns]
- DMA: Digital Markets Act [Hier bei uns]
- DSA: Digital Services Act [Hier bei uns]
- DORA: Digital Operational Resilience Act [Hier bei uns]
- ECA: European Chips Act [Hier bei uns]
- EPVo: E-Privacy-Verordnung
- MaRisk: Mindestanforderungen an das Risikomanagement
- MiCA: Markets in Crypto-Assets [Hier bei uns]
- NIS2: Directive on Security of Network and Information Systems [Hier bei uns]
- Supply-Chain: Lieferkettensorgfaltspflichtengesetz
- TTPF: EU-US Transparency Privacy Framework
- Geoblocking-Verordnung (EU) 2018/302: Beseitigung ungerechtfertigter Diskriminierung bei Online-Käufen [Hier bei uns]
- P2B-Verordnung für mehr Fairness [Hier bei uns]
- eEvidence-Verordnung [Hier bei uns]
Fazit
Ich bin unschlüssig, was ich von dem Entwurf nach erstem Eindruck halten soll: Angeblich soll die E2E-Verschlüsselung nun nicht angetastet werden. Gleichwohl steht eine umfassende Überwachung auch unverdächtiger im Raum, was immer Auswirkungen auf freie Kommunikation hat, die wiederum Grundlage demokratischer Gesellschaften hat. Ich habe Sorge, ob sich die Beteiligten der Breitenwirkung solcher Maßnahmen wirklich bewusst sind.
Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht / Technologierecht - ergänzt um Arbeitsrecht.
- Urlaubsberechnung bei Überschneidung von Krankheit und Kurzarbeit „null“ - 30. April 2024
- Schwierige Beweislage und deren Darstellung in Gerichtsurteilen - 30. April 2024
- Urteil des Europäischen Gerichtshofs zur Nutzung von EncroChat-Daten - 30. April 2024