Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Im Mai 2022 hat die Kommission einen Vorschlag für eine Verordnung zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern vorgelegt. Der Vorschlag sieht unter anderem vor, dass Anbieter von E-Mail- oder Online-Diensten zur Nachrichtenübermittlung dazu verpflichtet werden, sexuel­len Kindesmissbrauch im Internet aufzudecken. Dazu müssen die Anbieter Maßnah­men ergreifen, um die Verbreitung von bekannten oder neuen Darstellungen sexuellen Kindesmissbrauchs oder die Kontaktaufnahme zu Kindern anhand bestimmter Indika­toren zu erkennen.

Ohne Zweifel besteht die Notwendigkeit, Kinder vor sexuellem Missbrauch zu schützen und entsprechende Straftaten aufzudecken. Die Ziele der geplanten Verordnung an sich stehen also nicht infrage. Gleichwohl sind die staatlich angeordnete Kontrolle und Überwachung von Kommunikation in der umfassenden Form, die in dem Verordnungs­entwurf vorgesehen ist, von unverhältnismäßigem Ausmaß. Es wird eine Vielzahl von Nutzenden mit einer erheblichen Menge sehr persönlicher Informationen aus sämt­lichen Lebensbereichen von den Überwachungsmaßnahmen betroffen sein – und zwar unabhängig davon, ob überhaupt der Verdacht einer Straftat besteht. Der gewählte Ansatz bedeutet, dass die Anbieter sämtliche über bzw. mit ihren Diensten verarbei­teten Daten auf die genannten Inhalte hin überprüfen müssen. Je nachdem, um welche Art von Diensten es sich handelt, werden dabei Verkehrs-, Inhalts- und Standortdaten sowie sämtliche Inhalte der über einen Dienst abgewickelten zwischenmenschlichen Kommunikation überwacht – auch komplette Inhalte von E-Mails und Chats.

Die Verpflichtung soll auch dann gelten, wenn die Dienste eine Ende-zu-Ende verschlüsselte Kommunikation anbieten. De facto bedeutet dies eine Abkehr von der Ende-zu-Ende-Verschlüsselung, die sich in den letzten Jahren als notwendige Vor­bedingung privater Kommunikation weitgehend etabliert hat. Damit die Maßnahmen gemäß dem Verordnungsentwurf umgesetzt werden können, müsste nämlich die Ende-zu-Ende-Verschlüsselung aufgebrochen werden.

Daraus folgt, dass Technologien wie Ende-zu-Ende-Verschlüsselung nicht mehr zuver­lässig zur Verfügung stehen werden, sondern nur noch unter dem Vorbehalt, dass der anbietende Dienst die Verschlüsselung umgehen kann. Das läuft dem Ziel der Verschlüsselung zuwider, die ausdrücklich die Sicherheit und die Vertraulichkeit der Kommunikation von Nutzenden, einschließlich Kindern, wie der Verordnungsentwurf selbst feststellt, gewährleisten soll. Es ist ein Bruch der Vertraulichkeit elektronischer Kommunikation mit nicht absehbaren Folgen für die Kommunikationsfreiheit als eines der demokratiesichernden Grundrechte schlechthin. Damit wird diese Vertraulich­keitsmaßnahme nicht nur gegenüber den Anbietern nutzlos, sondern es erhöht sich auch generell das Risiko von Schwachstellen, die missbräuchlichen Zugriffen Tür und Tor öffnen. In einer Zeit, in der Sicherheitslücken in IT-Systemen vermehrt und in großem Stil für illegale Zwecke ausgenutzt werden, sollten Schwächungen des Schutzes vermieden werden, statt absichtlich Bruchstellen in den technischen Infrastrukturen einzubauen.

Die vorgesehene anlasslose Massenüberwachung greift fundamental in die Grund­rechte auf Achtung des Privat- und Familienlebens, der Vertraulichkeit der Kommuni­kation und zum Schutz personenbezogener Daten ein. Vor dem Hintergrund der anste­henden Beratungen im Rat der Europäischen Union warnt die Datenschutzkonferenz davor, den Wesensgehalt dieser Grundrechte anzutasten, und appelliert an den EU-Gesetzgeber, bei der Regulierung von Maßnahmen zur Bekämpfung schwerster Krimi­nalität die Grenzen der Rechtsstaatlichkeit einzuhalten und insbesondere Erforderlich­keit und Verhältnismäßigkeit zu wahren.