Unter dem Topos „Going Dark“ hat eine von der Europäischen Kommission eingerichtete „High-Level Group“ seit Juni 2023 an Empfehlungen für den umfassenden Zugang von Strafverfolgungsbehörden auf nahezu sämtliche (Kommunikations-)Daten erarbeitet. Die Digitale Gesellschaft e.V. warnt gemeinsam mit zahlreichen anderen Organisationen aus Zivilgesellschaft und Wirtschaft in einem offenen Brief an die zuständigen Minister*innen vor den einschneidenden Folgen, die die Umsetzung dieser Empfehlungen haben würde.
Die Umsetzung der Empfehlungen in konkrete Maßnahmen und Gesetze würde nicht nur die Grundrechte nahezu der gesamten Bevölkerung massiv einschränken, sondern die IT-Sicherheit in der EU grundlegend aufs Spiel setzen – mit weitreichenden, nicht zuletzt ökonomischen, Folgen.
Während selbst das FBI in den USA als Antwort auf chinesische Hackerangriffe der Bevölkerung mittlerweile eindringlich das Nutzen verschlüsselter Kommunikation ans Herz legt, haben europäische Strafverfolgungsbehörden (die die „High-Level Group“ weitgehend dominiert haben) bis heute nicht verstanden, dass das Brechen oder Untergraben effektiver Verschlüsselung durch Hintertüren oder Client-Side-Scanning die Kommunikationssicherheit nicht nur der gesamten Bevölkerung massiv gefährdet.
Betreff: Offener Brief für ein sicheres und die Grundrechte wahrendes digitales Ökosysten in der Europäischen Union
Sehr geehrte Minister*innen,
wir, die unterzeichnenden Berufsverbände, Medien- und Menschenrechtsorganisationen, Gewerkschaften und Technologieunternehmen, schreiben Ihnen, um die Notwendigkeit einer EU-Agenda für digitale Sicherheit zu unterstreichen. Diese muss Gerechtigkeit, Verantwortlcheit und die Achtung der Grundrechte gewährleisten und die Entwicklung eines sicheren digitalen Ökosystems unterstützen.
In diesem Zusammenhang möchten wir unsere Bedenken bezüglich der Empfehlungen und des Berichts der „High-Level Group über den Zugang zu Daten für eine wirksame Strafverfolgung“ (HLG) mit Ihnen teilen.[1] Angesichts des übergeordneten Ziels der HLG, den Strafverfolgungsbehörden den größtmöglichen Zugang zu personenbezogenen Daten zu gewähren, sehen wir grundlegende Risiken einer Massenüberwachung sowie erhebliche Gefahren für die Sicherheit und den Schutz der Privatsphäre, wenn diese Empfehlungen als Grundlage für künftige politische Maßnahmen und Rechtsvorschriften der EU herangezogen würden.
Wir fordern Sie daher dringend auf, die folgenden Empfehlungen bei der Festlegung der EU-Prioritäten in diesem Politikbereich zu berücksichtigen.
Achtung der Grundrechte und Gewährleistung der Sicherheit und Vertraulichkeit des digitalen Raums
Wir möchten davor warnen, den Strafverfolgungsbehörden uneingeschränkte Kompetenzen einzuräumen, die zu einer Massenüberwachung führen und die Grundrechte verletzen können.
Insbesondere sind wir äußerst besorgt über das von der HLG unterstützte Konzept des „lawful access by design “[2] , das darauf abzielt, den Zugang der Strafverfolgungsbehörden zu Daten in die Entwicklung aller Technologien einzubeziehen. In der Praxis würde das die systematische Schwächung aller digitalen Sicherheitssysteme erfordern – einschließlich, aber nicht beschränkt auf Verschlüsselung. Dies würde die Sicherheit und Vertraulichkeit elektronischer Daten und Kommunikation untergraben, die Sicherheit aller Menschen gefährden und ihre Grundrechte massiv einschränken. Das Konzept steht im klaren Widerspruch zu den seit langem bestehenden Empfehlungen von Menschenrechtsorganisationen, Datenschutz- und Cybersicherheitsexperten und nicht zuletzt zur Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR).[3]
Wir empfehlen daher, alle Maßnahmen zu verwerfen, die den Schutz von Verschlüsselung umgehen oder abschwächen könnten, da sie die Sicherheit und den Schutz der Privatsphäre von Millionen von Menschen und öffentlichen Einrichtungen gefährden und unweigerlich das gesamte digitale Informationsökosystem schädigen würden.
Darüber hinaus möchten wir daran erinnern, dass alle künftigen EU-weit harmonisierten Regelungen zur Vorratsdatenspeicherung und zum Datenzugriff[4] die im EU-Recht und in der ständigen Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) und des EGMR zum Schutz der Grundrechte vor Massenüberwachung verankerten rechtlichen Anforderungen der Notwendigkeit und Verhältnismäßigkeit beachten müssen. In dieser Hinsicht ist die vorgeschlagene Ausweitung der Verpflichtung zur Vorratsdatenspeicherung auf praktisch alle Dienste der Informationsgesellschaft, einschließlich des Internets der Dinge und internetgestützter Dienste[5] besonders bedenklich, da sie die ungezielte und wahllose Speicherung personenbezogener Daten erfordern würde. Diese umfassende und allgemeine Überwachung würde bei der gesamten Bevölkerung das Gefühl hervorrufen, dass ihr Privatleben ständig überwacht wird. Dies ist unvereinbar mit den genannten Voraussetzungen.
Wahrung des Rechts auf Privatsphäre und der Unverletzlichkeit geschützter Informationen
Auch wenn das Recht auf Privatsphäre und Vertraulichkeit der Kommunikation nicht absolut ist, muss jeder Eingriff in die Grundrechte den Grundsätzen von Rechtmäßigkeit, Notwendigkeit und Verhältnismäßigkeit entsprechen. Eine allgemeine und wahllose Vorratsspeicherung personenbezogener Daten, die die Erstellung detaillierter Profile von Personen ermöglicht, sowie Maßnahmen, die die Sicherheit der gesamten privaten Kommunikation untergraben, entsprechen nicht diesen Grundsätzen.
Diese allgemeinen und ungezielten Maßnahmen betreffen auch Personen, deren Kommunikation dem Berufsgeheimnis unterliegt, etwa Ärzt*innen und ihre Patient*innen, Journalist*innen und ihre Quellen, Rechtsanwält*innen und ihre Mandant*innen sowie Sozialarbeiter*innen und ihre Klient*innen. Der für diese Kommunikation gewährte Rechtsschutz ist die unabdingbare Voraussetzung für die wirksame Ausübung anderer Grundrechte durch alle Bürger*innen, einschließlich des Rechts auf ein faires Verfahren und effektive Verteidigung, der Freiheit der Meinungsäußerung und der Informationsfreiheit, einschließlich der Medien- und Pressefreiheit, der Gedanken- und Religionsfreiheit, der Versammlungs- und Vereinigungsfreiheit sowie des Rechts auf Sozialhilfe und Gesundheitsfürsorge.
Wir sind besorgt, dass die geplanten weitreichenden Befugnisse der Strafverfolgungsbehörden zum Zugriff auf Daten die Vertraulichkeit geschützter Kommunikation und damit verbundene Grundrechte beeinträchtigen würden. Es besteht die Gefahr, dass diese Maßnahmen missbraucht werden, um Journalist*innenen, Menschenrechtsverteidiger*innen, Anwält*innen, Aktivist*innen und politische Dissident*innen zu verfolgen. Zur Wahrung dieser Grundrechte ist es entscheidend, dass die EU die Unverletzlichkeit von Daten und anderen Beweismitteln garantiert, die durch das Berufsgeheimnis geschützt sind.
Unterstützung eines sicheren, vertrauenswürdigen und diversifizierten digitalen Ökosystems
Verantwortungsbewusste Gerätehersteller und Diensteanbieter haben erhebliche Ressourcen in die Verbesserung der Sicherheit ihrer Geräte und der Zuverlässigkeit ihrer Dienste investiert. Diese Innovationen erfüllen nicht nur die Anforderungen der zunehmend datenschutzbewussten Nutzer*innen, sondern auch die der Regulierungsbehörden, die für die Durchsetzung hoher Standards in den Bereichen Cybersicherheit und Datenschutz zuständig sind. Die EU verfügt über einen einzigartigen Vorteil dank eines Datenschutzrahmens, der einen hohen rechtlichen Standard für den Schutz der Grundrechte und -freiheiten der Menschen in einer Welt setzt, in der die Privatsphäre ständig angegriffen wird.
Leider könnte die Fähigkeit der europäischen Bevölkerung, auch in Zukunft vertrauenswürdige digitale Werkzeuge zu wählen, durch die Vorstellungen der HLG untergraben werden. Sie empfiehlt, den Betreibern umfangreiche und teilweise widersprüchliche Verpflichtungen aufzuerlegen. So sollen sie gezwungen werden, mehr Nutzer*innendaten zu sammeln und aufzubewahren, als für die Erbringung ihrer Dienste erforderlich ist, die Überwachung in Echtzeit[6] zu ermöglichen und den Strafverfolgungsbehörden entschlüsselte Daten zur Verfügung zu stellen – und das alles ohne die Sicherheit ihrer Systeme zu gefährden. Trotz der erklärten Absicht der HLG, die digitale Sicherheit nicht zu untergraben, gibt es tatsächlich keine technische Möglichkeit, das Versprechen durch Ende-zu-Ende-Verschlüsselung geschützter Kommunikation zu brechen, ohne die Sicherheit der Kommunikationssysteme zu schwächen. Eine für die Strafverfolgung gedachte Hintertür – oder ein anderer Umgehungsmechanismus – kann immer auch von anderen Akteuren ausgenutzt werden, wie zahlreiche Beispiele gezeigt haben.[7]
Schließlich skizziert die HLG auch einen besorgniserregenden Durchsetzungsrahmen, der harte Sanktionen zur Abschreckung und Bestrafung für die Nichteinhaltung von EU-Verpflichtungen und Rechtsdurchsetzungsanordnungen vorsieht (Verwaltungsmaßnahmen, Handelsverbote bis hin zu Haftstrafen).[8] Wir sehen hier die Gefahr, dass zuverlässige Anbieter sicherer Dienste entweder vom EU-Markt verdrängt werden oder ihre Tätigkeit einstellen müssen, wenn es sich um kleine oder gemeinnützige Unternehmen handelt – oder dass sie an der Entwicklung sicherer Lösungen gehindert werden, wenn sie in der EU niedergelassen sind. Dies wäre natürlich allen Initiativen und Ambitionen der EU im Bereich der Cybersicherheit äußerst abträglich.
Wir sind uns darüber im Klaren, dass die den Strafverfolgungsbehörden zur Verfügung stehenden Ermittlungsmaßnahmen dem digitalen Zeitalter angemessen sein und den einzigartigen Herausforderungen, die grenzüberschreitende Online-Dienste mit sich bringen, wirksam begegnen müssen. Effizienz sollte jedoch nicht auf Kosten einer Schwächung der Grundrechte, des Rechtsschutzes und der europäischen Wirtschaft erreicht werden. Wir sind davon überzeugt, dass diese Ziele des Gemeinwohls mit weniger einschneidenden Maßnahmen erreicht werden können als mit Massenüberwachung und der systematischen Schwächung wesentlicher Sicherheitsgarantien.
Wir danken Ihnen im Voraus und stehen Ihnen bei Fragen gerne zur Verfügung.
Unterzeichnende:
Access Now
ARTICLE 19, International
Association of European Journalists, Belgium (AEJ Belgium)
Bits of Freedom, Netherlands
Bolo Bhi, Pakistan
Centre for Democracy and Technology Europe (CDT Europe)
Chaos Computer Club (CCC), Germany
Civil Liberties Union for Europe (Liberties)
Committee to Protect Journalists (CPJ)
Community Media Forum Europe (CMFE)
Council of Bars and Law Societies of Europe (CCBE)
Cryptee, Estonia
D3 – Defesa dos DIreitos Digitais, Portugal
Danes je nov dan, Slovenia
Datenpunks, Germany
Deutsche Vereinigung für Datenschutz e.V. (DVD), Germany
Deutscher Anwaltverein (German Bar Association)
Digital Rights Ireland
Digitale Gesellschaft, Germany
Digitale Gesellschaft, Switzerland
eco – Verband der Internetwirtschaft e.V.
Electronic Frontier Foundation (EFF), International
Electronic Privacy Information Center (EPIC), United States of America
Element
Epicenter.works – for digital rights, Austria
Eurocadres
EuroISPA – The European Association of Internet Services Providers
European Broadcasting Union (EBU)
European Digital Rights (EDRi)
European Federation of Journalists (EFJ)
European Magazine Media Association (EMMA)
European Newspaper Publishers’ Association (ENPA)
European Publishers Council (EPC)
Global Forum for Media Development (GFMD)
Global Network Initiative (GNI)
Heartland Initiative
IFEX
Initiative für Netzfreiheit, Austria
IT-Pol, Denmark
La Quadrature du Net, France
Ligue des droits humains, Belgium
Mailfence, Belgium
Malta Information Technology Law Association (MITLA)
News Media Europe (NME)
Nextcloud GmbH, Germany
Panoptykon Foundation, Poland
Politiscope, Croatia
Privacy International
Proton, Switzerland
SHARE Foundation, Serbia
South East Europe Media Organisation (SEEMO)
Statewatch, International
Tech Global Institute
Tuta Mail, Germany
Wikimedia Foundation
Fussnoten:
1 Empfehlungen der High-Level Group für den Zugang zu Daten für eine wirksame Strafverfolgung, https://home-affairs.ec.europa.eu/document/download/1105a0ef-535c-44a7-a6d4-a8478fce1d29_en
2 Empfehlungen 22, 23, 25, 26
3 Im Fall PODCHASOV v. RUSSLAND entschied der EGMR, dass eine allgemeine Verpflichtung zur Schwächung der Verschlüsselung in einer demokratischen Gesellschaft unverhältnismäßig ist und stellte fest, dass Entschlüsselungsverpflichtungen „mutmaßlich nicht auf bestimmte Personen beschränkt werden können und wahllos jeden gleichermaßen treffen würden – auch Personen, die keine Bedrohung für ein legitimes staatliches Interesse darstellen Interesse.“
4 Empfehlungen 27 bis 32
5 Empfehlung 27 ii
6. Empfehlung 38
7. So waren beispielsweise die eingebauten Schwachstellen der TLS/SSL-Protokolle ein Jahrzehnt lang auf Regierungswebsites zu finden, bevor sie im Jahr 2015 gepatcht wurden: https://blog.cryptographyengineering.com/2015/03/03/attack-of-week-freak-or-factoring-nsa/. Durch den Hack der rechtmäßigen Abhöreinrichtungen von Vodafone in Griechenland (die sogenannte „Athener Affäre“), wurde das Abhören von über 100 Politikern ermöglicht, was schwerwiegende Folgen für die nationale Sicherheit hatte. Ein weiteres Beispiel aus jüngster Zeit ist der massive Cyberangriff, bei dem über die Kanäle, die von der Regierung der Vereinigten Staaten für gerichtlich genehmigte Abhören von Breitbandnetzen eingerichtet wurden, in die Breitbandnetze der Vereinigten Staaten eingedrungen wurde, darunter AT&T und Verizon: https://www.wsj.com/tech/cybersecurity/u-s-wiretap-systems-targeted-in-china-linked-hack-327fc63b
8. Empfehlungen 33 bis 36
