Die Pläne, im Internet mit Biometrie nach jedweder Person zu suchen, verstoßen laut AlgorithmWatch gegen Europarecht und die Verfassung. Sie seien so unverhältnismäßig, dass man sie nicht verbessern, sondern nur zurückziehen könne.

Die Pläne der Bundesregierung, die digitalen Ermittlungsbefugnisse von Sicherheitsbehörden auszuweiten, sind nach Meinung der Organisation AlgorithmWatch europarechtswidrig und stehen im Konflikt mit verfassungsrechtlichen Mindestanforderungen und datenschutzrechtlichen Grundsätzen.

Dabei kommt AlgorithmWatch – wie auch schon zuvor die Gesellschaft für Freiheitsrechte (GFF) – zu dem Schluss, dass man dieses Gesetz nicht mit ein paar Änderungen verbessern könnte. Die verfassungs- und menschenrechtliche Unverhältnismäßigkeit lasse „ausschließlich die Empfehlung zu, die Gesetzentwürfe zurückzuziehen und ein grundsätzliches gesetzliches Verbot des Einsatzes biometrischer Massenerkennungssysteme für öffentliche und private Stellen einzuführen“, so die Zusammenfassung der Stellungnahme zum Gesetz (PDF).

„Flächendeckende Verfolgung aller Menschen im digitalen Raum“

Die schwarz-rote Koalition plant in ihrem „Sicherheitspaket“ einerseits eine biometrische Massenfahndung im Internet zu erlauben sowie andererseits die Zusammenführung und Auswertung polizeilicher Daten mittels automatisierter Datenbankanalyse. Die Stellungnahme der Nichtregierungsorganisation fokussiert sich auf die biometrische Fahndung.

Diese biometrische Internetfahndung sieht die NGO sehr kritisch:

Der biometrische Abgleich ermöglicht die Identifizierung von Personen im öffentlichen Raum und im Internet auf Basis biometrischer Merkmale und schafft somit die technischen Voraussetzungen für eine flächendeckende Verfolgung aller Menschen im (digitalen) öffentlichen Raum.

Laut AlgorithmWatch berührt die Überwachungsmaßnahme zwangsläufig die Grundrechte aller Menschen, sie sei weder erforderlich noch verhältnismäßig. Betroffen seien dabei insbesondere die Grundrechte auf informationelle Selbstbestimmung und freie Meinungsäußerung.

Rückschlüsse auf politische Einstellungen

Die NGO kritisiert, dass die Maßnahme heimlich erfolgt und eine extrem hohe Streubreite hat: Es seien einfach alle Menschen betroffen, deren Gesichtsbilder im Internet zu finden sind. Das ist heute ein großer Teil der Bevölkerung. Zudem gebe es erhebliche Diskriminierungsrisiken, wenn sensible Daten erfasst und verarbeitet werden, wie Aufnahmen von Demonstrationen, Parteiveranstaltungen, Pride-Events, Gewerkschaftskundgebungen oder Gottesdiensten. Solche Aufnahmen lassen Rückschlüsse zu auf politische Haltungen, Parteizugehörigkeit, sexuelle oder religiöse Einstellungen.

Darüber hinaus könnten durch die biometrische Internetfahndung auch Bilder aus dem Kernbereich privater Lebensführung ausgewertet werden wie etwa Kindergeburtstage oder private Familienfeiern. Dieser Kernbereich ist verfassungsrechtlich besonders geschützt. Die öffentliche Verfügbarkeit der Daten, die für einen Abgleich herangezogen werden, ändere nichts daran, dass Schutzbereiche der Grundrechte berührt sind.

In der Stellungnahme verweist AlgorithmWatch darauf, dass das Bundesverfassungsgericht bei Kfz-Kennzeichen, die deutlich weniger sensibel als biometrische Merkmale seien, hohe verfassungsrechtliche Anforderungen aufgestellt habe.

Auch seien die Anforderungen für die geplante massenhafte Verarbeitung biometrischer Daten zu unspezifisch sowie die Einsatzzwecke und Tatbestandsmerkmale zu breit und nicht gewichtig genug, als dass eine grundrechtskonforme Anwendung realistisch erscheine. Hier verweist die Organisation auf den Straftatenkatalog des § 100a Abs. 2 StPO , der regelmäßig erweitert und angepasst werde und sich deshalb nicht zur klaren Begrenzung der Maßnahmen auf schwerwiegende Straftaten eigne. Diese Kritik hatte auch die GFF geäußert.

Technische Ausgestaltung unklar

Der Gesetzentwurf lege außerdem „völlig unzureichend“ dar, wie die Überwachungsmaßnahme technisch vonstattengehen soll. Einerseits sollen die die im Rahmen des biometrischen Abgleichs erhobenen und verarbeiteten Daten nach dessen Durchführung „unverzüglich” gelöscht werden, auf der anderen Seite bleibe der Gesetzentwurf schuldig, wie die Sache technisch funktionieren soll.

Klar ist: Für einen biometrischen Abgleich braucht es eine Datenbank, die mit einem gesuchten Bild verglichen werden muss. Bisherige Systeme von privaten Firmen zur Gesichtssuche im Internet wie beispielsweise PimEyes funktionieren so, dass sie meist illegal alle möglichen Gesichtsbilder aus dem Internet sammeln, auswerten und die biometrischen Merkmale sowie die Fundstellen und Metadaten und Zusatzinformationen dieser Bilder in einer Datenbank hinterlegen. Suche ich nun nach einem Gesicht, werden die biometrischen Merkmale dieses Gesichts mit den in der Datenbank hinterlegten Daten abgeglichen – und die jeweiligen Ergebnisse ausgespuckt.

Bundesregierung will biometrische Fotofahndung im Netz

Ein durch AlgorithmWatch beauftragtes Gutachten hat festgestellt, dass ein biometrischer Abgleich zwischen Bildern gesuchter Personen und im Internet verfügbaren Fotos ohne Verwendung einer Datenbank nicht sinnvoll umsetzbar ist. Für die NGO ist damit klar, dass das Vorhaben verboten ist, weil die KI-Verordnung der EU eine mittels Künstlicher Intelligenz erstellte Gesichterdatenbank verbieten würde.

Ein Gutachten der Wissenschaftlichen Dienste des Deutschen Bundestages kommt allerdings zu einem leicht anderen Schluss. Demnach verbiete die KI-Verordnung nicht den Aufbau einer Datenbank, sondern nur das „ungezielte Auslesen von Gesichtsbildern mittels KI […], da es die Privatsphäre und den Datenschutz der Betroffenen erheblich beeinträchtigt und das Gefühl ständiger Überwachung erzeugt“.

Das in der KI-Verordnung festgelegte Verbot gelte demnach nur dann, wenn die Strafverfolgungsbehörden die Datenbanken mit Hilfe von KI-Systemen erstellen. Werden dafür keine solchen Systeme verwendet, greife die Verordnung nicht. Genau dieses Schlupfloch könnte die Bundesregierung nutzen wollen, sie lässt aber offen, wie das technisch funktionieren soll.

Auslagerung an Private als Schlupfloch?

AlgorithmWatch kritisiert, dass der Gesetzentwurf eine Art Auslagerungsbefugnis enthalte, für den Fall, dass Polizei- und Strafverfolgungsbehörden den Abgleich technisch nicht selbst durchführen können. Sie erlaubt ausdrücklich eine Übermittlung von Daten zum Zweck eines biometrischen Abgleichs an öffentliche Stellen und private Anbieter sowohl im Inland als auch im Ausland sowie innerhalb wie außerhalb der Europäischen Union.

Auch das könnte ein Schlupfloch sein. Die NGO sagt dazu: „Eine Erlaubnis für solch eine Auslagerung des biometrischen Abgleichs ins (Nicht-EU-)Ausland führt sämtliche durch die Gesetzestexte eingeführten Beschränkungen ad absurdum.“ Damit würde  der in den Gesetzentwürfen beschriebene Vorgang des Löschens aller verarbeiteten Daten nach jeder einzelnen Suchanfrage zur theoretischen Fassade, heißt es in der Stellungnahme. „Aus diesem Grund, so die Vermutung, wird auf die Übermittlung von Daten an Dritte verwiesen, welche den Abgleich im Auftrag deutscher Behörden durchführen würden. Ins Spiel kommen könnten dann solche Anbieter wie PimEyes oder Clearview AI.

Der Staat dürfe aber, so die Stellungnahme, selbst keine rechtswidrigen Angebote Dritter nutzen. „Ein Delegieren der Umsetzung ins Ausland stellt entsprechend keine europa- und grundrechtskonforme Lösung dar.“ Dazu komme, dass derart  schwerwiegende Grundrechtseingriffe nicht an private Unternehmen oder öffentliche Stellen in Drittstaaten ausgelagert werden dürften.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Am Wochenende ist die Ausnahmeregelung für die freiwillige Chatkontrolle ausgelaufen. Doch große Tech-Unternehmen wie Google, Meta oder Microsoft wollen weiter massenhaft die private Kommunikation ihrer Nutzer:innen scannen.

Am vergangenen Samstag ist die europäische Ausnahmeregelung zum Scannen von privater Kommunikation nach Inhalten sexualisierten Kindesmissbrauchs – die sogenannte „freiwillige Chatkontrolle“ oder Chatkontrolle 1.0 – ausgelaufen. Die Tech-Konzerne Google, Meta, Microsoft und Snapchat wollen aber dennoch weiter die Kommunikation ihrer Nutzer:innen massenhaft und anlasslos nach solchen Inhalten durchsuchen. Das verkündeten die Unternehmen am 4. April in einer gemeinsamen Erklärung. Wie genau die Unternehmen die Maßnahmen fortsetzen wollen, ließen sie allerdings offen.

Das Auslaufen der Ausnahmeregelung „trübe“ die Rechtssicherheit, so die vier Konzerne, die sich enttäuscht über das „unverantwortliche Versäumnis“ zeigen. In der Erklärung heißt es weiter, dass man „weiterhin freiwillige Maßnahmen in Bezug auf unsere relevanten Dienste für die interpersonale Kommunikation ergreifen“ werde. Die Konzerne fordern zudem die EU-Institutionen auf, die Verhandlungen über einen Rechtsrahmen abzuschließen.

In einem Schreiben vom 25. März hatten mehrere EU-Kommissare, unter ihnen der Innenkommissar Magnus Brunner, in einem Schreiben an EU-Abgeordnete gewarnt, dass es nach dem 3. April den Anbietern gemäß der ePrivacy-Richtlinie untersagt sei, Material über sexuellen Kindesmissbrauch im Internet nach eigenem Ermessen aufzuspüren und zu melden. In der heutigen Pressekonferenz wollte die EU-Kommission allerdings nicht auf die Frage antworten, ob die eigenmächtige Fortführung der freiwilligen Chatkontrolle durch die Unternehmen gegen EU-Regeln verstoßen würde.

Scheitern mit Ansage

Das Scheitern der freiwilligen Chatkontrolle war vor allem durch die fehlende Verhandlungsbereitschaft des Rates im Trilog zustande gekommen, wie Dokumente belegen, die netzpolitik.org veröffentlicht hat. Das Parlament hatte zuvor dafür gestimmt, dass die freiwillige Chatkontrolle nicht mehr anlasslos sein sollte, sondern nur noch auf Verdacht. Die Mitgliedsstaaten, darunter auch Deutschland, wollten jedoch die Anlasslosigkeit beibehalten. Nach dem Scheitern des Trilogs hatten die Konservativen im EU-Parlament das Thema mit einem Verfahrenstrick noch einmal auf die parlamentarische Agenda gehoben – und waren dort gescheitert.

Die freiwillige Chatkontrolle wird unterschiedlich bewertet. Die Befürworter:innen halten sie für unverzichtbar, um Inhalte und Kriminelle aus dem Bereich des sexualisierten Kindesmissbrauchs ausfindig zu machen. Kritiker:innen weisen darauf hin, dass es sich um bekanntes Material handele und dass man damit keinen laufenden Kindesmissbrauch stoppe. Sie verweisen zudem darauf, dass das anlasslose Scannen von Kommunikation ein tiefer Eingriff in Grundrechte ist.

Der ehemalige Piraten-Europaabgeordnete Patrick Breyer nannte das Aus der anlasslosen Chatkontrolle in einer Pressemitteilung keinen Rückschlag, „sondern eine Chance für echten Kinderschutz“. Statt Massenüberwachung solle auf „Löschen statt Wegsehen“, auf sicheres Design bei Apps, mehr Prävention an Schulen sowie einer Stärkung der Ermittlungsbehörden gesetzt werden.

Verhandlungen über CSA-Verordnung

Ungleich wichtiger als die Ausnahmeregelung der Chatkontrolle 1.0 ist die CSA-Verordnung, welche auch die verpflichtende Chatkontrolle 2.0 enthalten könnte, über die seit vier Jahren gestritten wird. Durch ein eingestuftes Ratsprotokoll vom 13. März, das wir im Volltext veröffentlicht haben, wurde deutlich, dass die EU-Mitgliedstaaten Kompromisse bei der temporären freiwilligen Chatkontrolle 1.0 offenbar als eine Art Vorentscheidung für die weitaus wichtigeren Verhandlungen zur CSA-Verordnung und damit für eine permanente Regelung (Chatkontrolle 2.0) sehen.

Knackpunkt bei der CSA-Verordnung ist die verpflichtende Chatkontrolle. Der EU-Kommission möchte, dass dabei auch verschlüsselte Kommunikationen durchleuchtet werden. Das Parlament hat dies bisher abgelehnt und Maßnahmen nur auf Verdacht gefordert. Auch im EU-Rat hat die anlasslose Chatkontrolle bislang keine qualifizierte Mehrheit gefunden. Die drei Institutionen sind derzeit im Trilog und verhandeln über die Verordnung.

Für die Chatkontrolle nach Wunsch der EU-Kommission wäre Technologie namens Client-Side-Scanning nötig, welche vor der Verschlüsselung Inhalte auf dem Handy oder Computer scannt. Wäre diese Technologie einmal eingeführt, ist verschlüsselte Kommunikation wertlos, weil die Inhalte schon vor dieser angeschaut werden könnten. Es wäre das Ende der privaten und vertraulichen Kommunikation. Wir haben zusammengestellt, warum dies für uns alle gefährlich ist.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der europäische Datenschutzbeauftragte verlangt wirksame Schutzmaßnahmen gegen das wahllose massenhafte Scannen bei der freiwilligen Chatkontrolle. Die Ausnahmeerlaubnis für Konzerne wie Meta, Google oder Microsoft dürfe sonst nicht nochmals verlängert werden.

Eigentlich war sie nur als Ausnahme vorgesehen: Die Erlaubnis zur freiwilligen Chatkontrolle soll jedoch nochmals verlängert werden. Das hatte die EU-Kommission am 19. Dezember 2025 vorgeschlagen. Anbieter von Kommunikationsdiensten wie Meta, Google oder Microsoft dürften dann weiterhin auf freiwilliger Basis Scanning-Technologien einsetzen, um beispielsweise massenhaft Mitteilungen in Chats nach verbotenen Kindesmissbrauchsdarstellungen zu durchkämmen.

Wojciech Wiewiórowski, der europäische Datenschutzbeauftragte, schlägt nun in einer Stellungnahme rechtliche Einschränkungen an der Ausnahmeregelung vor. Sie sollen eine allgemeine und wahllose Überwachung unterbinden und die Risiken des Massen-Scannings besser berücksichtigen.

Der Jurist betont, dass diese Einschränkungen von den Konzernen auch „strikt eingehalten“ werden müssten. Eine bloße Verlängerung der Ausnahmeregelung ohne Maßnahmen zur Sicherstellung der Wirksamkeit bestehender und neuer Schutzvorkehrungen bliebe „hochproblematisch“.

Kein „wahlloses Scannen“

Der europäische Datenschutzbeauftragte verweist auch auf seine früheren rechtlichen Analysen. Denn Wiewiórowski hatte sich schon mehrfach ablehnend zur Regelung der massenhaften freiwilligen Chatkontrolle geäußert. Auch der europäische Datenschutzausschuss, in dem sich die nationalen Datenschutzbehörden abstimmen, mahnte in einer Stellungnahme einen besseren Schutz der Grundrechte und einschränkende Regeln an.

Denn flächendeckende automatisierte Chatkontrollen und massenhaftes Scannen sind grundrechtswidrig, weswegen es nur temporäre Ausnahmen in einer Übergangsverordnung gibt. Wiewiórowski betont nun erneut, dass im Falle einer nochmaligen Verlängerung der vorläufigen Erlaubnis zur Chatkontrolle die rechtlichen Mängel behoben, Schutzmaßnahmen eingebaut und „wahlloses Scannen“ verhindert werden sollten.

Der europäische Datenschutzbeauftragte besteht weiterhin auf seiner rechtlichen Einschätzung, dass keine vorübergehende Ausnahme angenommen werden sollte, solange diese Mängel nicht abgestellt seien. Bisher sei die wahllose Massenüberwachung nicht ausreichend rechtlich eingehegt.

Die zweite Verlängerung

In einer Pressemitteilung zu seiner Stellungnahme hatte Wiewiórowski die Bedeutung des Schutzes von Kindern vor Missbrauch betont, aber auch gefordert, dass dabei kein „rechtliches Vakuum“ entstehen dürfe. Denn auch „vorübergehende“ Maßnahmen dürften nicht „die Grundrechte außer Kraft setzen“. Diese Grundrechte sind in den Artikeln 7 und 8 der Charta der Grundrechte der Europäischen Union festgeschrieben. Es müsse sichergestellt sein, „dass das Scannen nicht wahllos erfolgt und dass es immer eine klare Rechtsgrundlage für die Verarbeitung personenbezogener Daten gibt“.

„Vorübergehend“ ist offenbar ein dehnbarer Begriff, denn die Ausnahme besteht bereits seit Juli 2021 und wurde im April 2024 für weitere zwei Jahre verlängert. Eigentlich war die nun wieder zur Verlängerung anstehende Übergangsregelung nur eine Art Vorläufer für eine seit 2022 geplante EU-Verordnung zur verpflichtenden Chatkontrolle.

Sie war von der EU-Kommission vorgeschlagen worden. Doch diese EU-Verordnung zur verpflichtenden Chat-Massenüberwachung wurde bisher nicht geschaffen, sondern mündete aufgrund der massiven Kritik an diesem Überwachungsprojekt in ein langjähriges und noch immer nicht abgeschlossenes politisches Hickhack, an dem gleich mehrere EU-Ratspräsidentschaften scheiterten.

Kein Nachweis, dass Massen-Scans verhältnismäßig sind

Das EU-Parlament wird wohl im März entscheiden, ob es einer einjährigen Verlängerung der Übergangsverordnung zustimmt, die nun das automatisierte Text-Analysieren bei Nachrichten ausschließen könnte und das Scannen nur auf bekannte Hash-Werte beschränken soll.

So schlug es zuletzt Birgit Sippel vor. Die Sozialdemokratin (S&D) ist die Berichterstatterin zur freiwilligen Chatkontrolle im EU-Parlament. Der zuständige LIBE-Ausschuss der EU-Parlaments wird Sippels Vorschlag aber noch inhaltlich beraten.

Es bliebe selbst in dieser abgespeckten Variante dabei, dass den Konzernen massenhaftes Scannen „vorübergehend“ erlaubt wird. Dass dies verhältnismäßig ist, konnte die EU-Kommission aber auch nach mehr als vier Jahren Massen-Scans nicht nachweisen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die anlasslose Massenüberwachung der DNS-Anfragen aller Kunden von Vodafone ist vorerst abgewendet. Der Netzbetreiber wehrte sich dagegen erfolgreich mit einer Verfassungsbeschwerde. Klaus Landefeld von Branchenverband eco bewertet die Methode als „völlig ungeeignet“. Er hofft, dass sie dauerhaft verboten wird.

Ende November erging eine Eilentscheidung des Bundesverfassungsgerichts zu einer neuen Form der Massenüberwachung: Das Gericht stoppte einen Amtsgerichtsbeschluss, die einem Netzbetreiber das Mitprotokollieren von Billionen DNS-Anfragen vorgeschrieben hätte.

Das Amtsgericht Oldenburg hatte Vodafone zur Umsetzung von Überwachungsanordnungen verpflichtet, die monatlich sage und schreibe 12,96 Billionen DNS-Anfragen betroffen hätte. Der DNS-Server des Anbieters sollte überwacht werden, gestützt auf Paragraph 100a der Strafprozessordnung. Außerdem sollten die zur Identifizierung des Anschlussinhabers notwendigen Kundendaten mitgeliefert werden.

Doch der Telekommunikationskonzern wehrte sich und setzte sich nun vorerst durch. Die Vollziehung des amtsgerichtlichen Beschlusses ist für sechs Monate ausgesetzt, auch neue Anordnungen darf es nicht geben.

Das Bundesverfassungsgericht sieht „jedenfalls massenhafte Eingriffe“ in das Fernmeldegeheimnis der vierzig Millionen Vodafone-Kunden und erkennt Anhaltspunkte, dass die DNS-Massenüberwachung verfassungswidrig sein könnte. Viele völlig unverdächtige Kunden gerieten in die Überwachung und könnten sich nicht dagegen wehren. Denn die Überwachung findet heimlich statt, weswegen weder vorbeugender noch abwehrender Rechtsschutz möglich sei.

Wer ruft was auf?

Vodafone sollte DNS-Anfragen zu einem bestimmten Server abfangen, über den aber keine näheren Angaben bekannt sind. Das Domain Name System (DNS) übersetzt den Namen einer Website wie beispielsweise netzpolitik.org in Nummern (hier IPv4 144.76.255.209). Das könnte man mit den früher gebräuchlichen Telefonbüchern vergleichen. Allerdings wird nicht minutenlang gestöbert und geblättert, sondern die Namensauflösung wird in einem Bruchteil einer Sekunde geliefert.

Die Namensauflösung erfolgt technisch mehrstufig. Typisch ist heute die Server-assistierte iterative Form: Ein DNS-Stub-Resolver fragt den lokalen rekursiven DNS-Server, der die Anfrage (iterativ von der Wurzel abwärts) bis zum gesuchten Domain-Namen weiterleitet. Gebräuchliche DNS-Resolver und DNS-Server beschleunigen diese Namensauflösung dadurch, dass sie lokale DNS-Caches als Zwischenspeicher nutzen.

Zieht man den Vergleich mit dem Telefonbuch heran, dann wollten die Ermittler also eine Art Zielwahlüberwachung der gesamten Telefonie, um gezielt für eine vorgegebene Zieltelefonnummer herausfinden, wer alles diese Nummer angerufen hat.

13 Billionen DNS-Anfragen pro Monat mitprotokollieren

Vodafone gab dem Gericht die Anzahl von etwa fünf Millionen DNS-Server-Anfragen pro Sekunde im Anordnungszeitraum von einem Monat an. So errechnen sich die 12,96 Billionen DNS-Anfragen monatlich.

Um eine so große Anzahl für eine Überwachungsanordnung festzuhalten, müsste ein erheblicher Aufwand betrieben werden. Und je größer die eigene DNS-Infrastruktur des Netzbetreibers ist, desto aufwendiger wird es. Die Technik zur Protokollierung darf aber dabei die eigentliche Funktion, nämlich die schnelle Namensauflösung, nicht bremsen.

Das bedeutet einen großen organisatorischen und personellen Aufwand. Die DNS-Server-Systeme der Anbieter müssten sämtliche DNS-Anfragen aller Kundenanschlüsse daraufhin auswerten, ob diese einen bestimmten inkriminierten Server abfragen.

Klaus Landefeld, Vorstand des IT-Branchenverbandes eco, bewertet die Eilentscheidung des Bundesverfassungsgerichts positiv und hofft auf ein Ende der Überwachungsmethode: „Das war dringend notwendig, um diese neue Idee einer Schleppnetzfahndung im Internet zumindest vorübergehend, hoffentlich aber auch dauerhaft abzuwenden.“

Die Maßnahme sei „völlig ungeeignet“. Denn es müssten „faktisch alle Anbieter von DNS-Resolvern verpflichtet werden“. Doch selbst dann könnten diese Anbieter nur einen Teil der DNS-Anfragen ihren eigenen Kunden zuordnen, da diese auch Resolver von populären Drittanbietern wie etwa Google (8.8.8.8), Cloudflare (1.1.1.1) oder Quad9 (9.9.9.9) nutzten. Und selbst wenn die Methode Erfolg hätte, wäre der immense Aufwand „mit Sicherheit dem Ergebnis nicht angemessen“ und rechtfertigte nicht die „anlasslose Massenüberwachung der DNS-Anfragen aller Kunden“, so Landefeld.

Es drängt sich die Frage auf, weswegen diese offensichtlich wenig geeignete Maßnahme von den Ermittlern überhaupt gefordert wird. „Ich halte es persönlich für einen verzweifelten Versuch, die mangelhafte oder derzeit überhaupt nicht vorhandene Möglichkeit der (Rück-)Auflösung von Carrier-NAT durch die vorgeschaltete DNS-Abfrage zu umgehen“, sagt Landefeld. Die Ermittler wollen demnach an private IP-Adressen gelangen, auch wenn dies für die Netzbetreiber einen außerordentlichen Aufwand bedeutet und Millionen Kunden betroffen wären. Denn der DNS-Server vom Anbieter sieht vielleicht die private IP-Adresse des Kunden und nicht nur die öffentliche IP-Adresse, die sich eben viele Kunden (Carrier-grade NAT) teilen.

Es gibt auch andere technische Methoden, um an die gesuchte private IP-Adresse zu kommen, die bei der Verhältnismäßigkeitsprüfung nicht schon auf der ersten Stufe scheitern. Das sieht auch das hohe Gericht so. Landefeld fielen ebenfalls Alternativen ein, die ohne anlasslose Massenüberwachung auskämen. Den Ermittlern waren aber offenbar keine anderen Methoden eingefallen.

Wer die gesuchten Verdächtigen sind, ist bisher nicht bekannt. Akteneinsicht hatte der Netzbetreiber von der Staatsanwaltschaft nicht bekommen. Aber schwerwiegende Verfehlungen können es nicht sein. Denn das Bundesverfassungsgericht schreibt, es sei „nicht ersichtlich, dass die hier konkret verfolgten Delikte besonders schwer wögen oder die Ermittlung des Sachverhalts mit anderen Ermittlungsmethoden nicht ebenso erfolgsversprechend sein könnte“.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Wichtige Stimmen wie Amnesty International, Reporter ohne Grenzen und der Chaos Computer Club appellieren eindringlich an die Bundesregierung, die Chatkontrolle zu verhindern. Sie warnen vor einem Angriff auf die Pressefreiheit, einem IT-Sicherheitsalptraum und einer Gefahr für die Demokratie.

Die Entscheidung um die Chatkontrolle rückt näher. Wenn die Bundesregierung ihre bisher grundrechtsfreundliche Position ändert, könnte die EU das Überwachungsprojekt doch noch beschließen. Bei der so genannten Chatkontrolle geht es um eine EU-Verordnung, die sich gegen die Verbreitung von Darstellungen sexuellen Kindesmissbrauchs (sogenannte Kinderpornografie) richten soll.

Die EU verhandelt seit drei Jahren kontrovers. Die geplante Verordnung enthält Vorschriften, die Messenger wie WhatsApp, Signal, Threema oder Telegram verpflichten sollen, die Kommunikation aller Nutzer:innen ohne jeden Verdacht zu durchsuchen.

Eine breite Front lehnt die Chatkontrolle ab. Nicht nur die IT-Fachwelt und die Wissenschaft sind gegen diese anlasslose Massenüberwachung, sondern auch zivilgesellschaftliche Organisationen aller Art.

Wir haben uns umgehört, was zivilgesellschaftliche Organisationen von der Bundesregierung erwarten – und warum die Chatkontrolle so gefährlich ist. Die Ablehnung reicht von Digital- und Journalistenverbänden über Menschenrechtsorganisationen bis hin zu Fußballfans.

„Gesamte Bevölkerung unter Generalverdacht“

Die Chatkontrolle würde das „Ende einer breit verfügbaren, vertraulichen und sicher verschlüsselten Kommunikation in Europa“ bedeuten, sagt Tom Jennissen von der Digitalen Gesellschaft. „Die gesamte Bevölkerung würde unter Generalverdacht gestellt und ihre Endgeräte mit staatlich verordneter Spyware infiziert.“ Von der Bundesregierung erwartet Jennissen, dass sie sicherstellt, dass dieser „vollkommen unverhältnismäßige Angriff auf unsere Kommunikationsgrundrechte und die IT-Sicherheit endlich vom Tisch kommt“.

Svea Windwehr vom digitalpolitischen Verein D64 sagt, dass die Chatkontrolle Grundrechte untergrabe, aber ohne den Schutz von Betroffenen zu verbessern. Jede Form der Chatkontrolle zerstöre die Verschlüsselung und die Vertraulichkeit privater Kommunikation, einem Schutz, von dem alle Menschen profitieren. „Anstatt auf vermeintliche technische Lösungen für eine komplexe gesellschaftliche Herausforderung zu setzen, müssen Ansätze gestärkt werden, die Prävention, Care und Unterstützung von Betroffenen in den Fokus rücken“, so Windwehr.

Elina Eickstädt, Sprecherin des Chaos Computer Clubs, nennt die Chatkontrolle und den vorgesehenen Bruch von vertraulicher und verschlüsselter Kommunikation den „Anfang von einem IT-Sicherheitsalptraum“. Hintertüren würden nie nur für Strafverfolgungsbehörden funktionieren, sondern immer auch für andere. „Die Bundesregierung muss sich klar gegen jeden Bruch von vertraulicher und verschlüsselter Kommunikation stellen, sie darf keinen Entwurf annehmen, der diese Prinzipien verletzt“, so Eickstädt weiter.

„Massiver Angriff auf Pressefreiheit“

Arne Semsrott von Frag den Staat sieht in der Chatkontrolle einen „massiven Angriff auf die Pressefreiheit“. Medienschaffende seien darauf angewiesen, vertraulich mit Quellen zu kommunizieren und ihre Arbeit zu schützen. „Wird diese Möglichkeit mit der Chatkotrolle genommen, schadet das der freien Presse enorm“, sagt Semsrott.

Das bestätigt auch Anja Osterhaus von Reporter ohne Grenzen. Sichere Verschlüsselung sei „unverzichtbar für vertrauliche Kommunikation und unabdingbare Voraussetzung für die Pressefreiheit“. Verschlüsselung schütze Journalist:innen und ihre Quellen, das ermögliche investigative Recherchen und erlaube es Whistleblowern, Missstände mitzuteilen. „Chatkontrolle untergräbt nicht nur das Vertrauen in sichere Kommunikation, sie gefährdet auch den Quellenschutz und unterminiert damit das Grundrecht auf Pressefreiheit“, so Osterhaus weiter. Reporter ohne Grenzen fordert deswegen die Bundesregierung dazu auf, sich öffentlich gegen Chatkontrolle zu positionieren.

„Gefährdet die Demokratie“

Lena Rohrbach, Expertin für Menschenrechte im digitalen Zeitalter bei Amnesty International sagt: „Bei der Chatkontrolle stimmt gar nichts: Als anlasslose Massenüberwachung trifft sie alle Menschen in der EU – außer Straftäter:innen, die sie umgehen werden.“ Das Vorhaben der Chatkontrolle „gefährdet die Demokratie, weil sie eine beispiellose Kontrolle unserer Kommunikation ermöglicht, die leicht missbraucht werden kann.“ Auch sie weist darauf hin, dass Kinder „echten Schutz durch Prävention und zielgerichtete Ermittlung“ benötigen würden.

Noa Neumann aus dem Koordinierungskreis von Attac warnt vor einer „anlasslosen, präventiven Massenüberwachung und einer vollständigen Aushöhlung des Datenschutzes“. Die Bundesregierung sei dazu verpflichtet, die Rechte und die Privatsphäre von Menschen aktiv zu schützen. „Deshalb muss sie gegen die Einführung der Chatkontrolle stimmen“, so Neumann weiter.

Linda Röttig vom Dachverband der Fanhilfen erklärt, dass Fußballfans häufig von Überwachung und Datenbanken von Polizeibehörden betroffen und deswegen besonders alarmiert seien, wenn staatliche Überwachung immer weiter ausgebaut werden soll. „Daher erheben auch wir gegen die Chatkontrolle unsere Stimme und warnen gemeinsam mit vielen anderen vor den katastrophalen Folgen dieses Verordnungsentwurfs“, so Röttig weiter. Die Fußballfans fordern die Bundesregierung auf, sich gegen eine Einführung der Chatkontrolle auszusprechen und von dieser Position auch andere Mitgliedsstaaten zu überzeugen.

Druck auf Ministerien nötig

Die Bundesregierung wird sich vermutlich vor dem 14. Oktober auf eine Position einigen, dann wird im EU-Rat abgestimmt. Zur Debatte steht der dänische Vorschlag, der eine verpflichtende Chatkontrolle und Client-Side-Scanning beinhaltet.

Das Bündnis „Chatkontrolle stoppen“ ruft dazu auf, die relevanten Personen und Organisationen zu kontaktieren. Das sind vor allem die beteiligten Bundesministerien (Innen, Justiz, Digital, Familie) sowie die Fraktionen und Abgeordneten der Regierungs-Parteien im Bundestag. Am besten wirken direkte E-Mails und Telefonanrufe, oder auch rechtzeitig ankommende Briefe. Auf der Webseite des Bündnisses gibt es Tipps und Adressen, um selbst aktiv zu werden.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In den kommenden Tagen wird die Bundesregierung entscheiden, wie sie am 14. Oktober in der EU zur Chatkontrolle abstimmt. Eines ist klar: Kommt die Chatkontrolle, wird es keine verschlüsselte und sichere Kommunikation mehr geben.

Der beliebte sichere Messenger Signal hat angekündigt, dass er Deutschland und Europa verlassen wird, wenn die Chatkontrolle kommt und sich keine Wege ergeben, sich dieser anlasslosen Massenüberwachung der privaten Kommunikation zu verweigern. Das hat Signal-Chefin Meredith Whittaker gegenüber der dpa gesagt, wie Tagesschau und Heise berichten. Es deutet sich an, dass eine Entscheidung über die Chatkontrolle am 14. Oktober fallen könnte – und die Position der Bundesregierung ist dabei entscheidend.

„Wenn wir vor die Wahl gestellt würden, entweder die Integrität unserer Verschlüsselung und unsere Datenschutzgarantien zu untergraben oder Europa zu verlassen, würden wir leider die Entscheidung treffen, den Markt zu verlassen“, sagte Meredith Whittaker der Nachrichtenagentur dpa.

Bei der so genannten Chatkontrolle geht es um eine EU-Verordnung, die sich gegen die Verbreitung von Darstellungen sexuellen Kindesmissbrauchs (sogenannte Kinderpornografie) richten soll. Sie wird seit drei Jahren kontrovers in der EU verhandelt, weil die Verordnung Vorschriften enthält, die Messenger wie WhatsApp, Signal, Threema oder Telegram verpflichten sollen, die Dateien aller Menschen auf deren Smartphones und Endgeräten ohne jeden Verdacht zu durchsuchen.

Chatkontrolle als Bedrohung für Privatsphäre und Demokratie

Dieses Durchleuchten von Dateien würde dazu führen, dass eine verschlüsselte und sichere Kommunikation für niemanden mehr möglich ist, weil die Dateien schon vor der eigentlichen Verschlüsselung angeschaut werden können. Die komplette IT-Fachwelt, führende Sicherheitsforscher, Wissenschaftler:innen aus aller Welt sowie zivilgesellschaftliche Organisationen aller Art lehnen daher die Chatkontrolle als Bedrohung für die Demokratie vehement ab. Das Suchen nach Inhalten ist technisch nicht auf bestimmte Inhalte zu begrenzen, sondern könnte in wenigen Handgriffen auch auf politisch missliebige Inhalte ausgeweitet werden.

Signal-Chefin Whittaker sagte der dpa, dass ihr Messenger niemals die Integrität seiner Ende-zu-Ende-Verschlüsselung untergraben werde. „Sie garantiert die Privatsphäre von Millionen und Abermillionen von Menschen auf der ganzen Welt, oft auch in lebensbedrohlichen Situationen.“ Signal lehne deshalb die Chatkontrolle ab. „Es ist bedauerlich, dass Politiker weiterhin einer Art magischem Denken verfallen, das davon ausgeht, dass man eine Hintertür schaffen kann, auf die nur die Guten Zugriff haben.“

Bundesregierung mauert

Während der Ampel-Regierung war die Ablehnung der Chatkontrolle nach anfänglichen Unstimmigkeiten mit dem Innenministerium relativ sicher. Das hat sich mit der neuen schwarz-roten Regierung geändert.

Die neue Bundesregierung, aber auch das beteiligte Innenministerium, das Justizministerium und der Digitalminister machen derzeit keine Aussagen, wie sie zur Chatkontrolle stehen und wie Deutschland am 14. Oktober im EU-Rat stimmen wird. Eine Entscheidung in der Bundesregierung soll in den nächsten Tagen fallen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.