Führt die geplante EU-Verordnung zur Bekämpfung von Kindesmissbrauch zur Massenüberwachung?
Die EU-Kommission hat am 11. Mai 2022 einen Vorschlag für eine Verordnung zur Verhinderung und Bekämpfung von Kindesmissbrauch vorgelegt. Ziel ist es, einheitliche Regeln für Social-Media-Plattformen, Gaming- sowie andere Hosting- und Online-Dienste einzuführen und die rechtlichen Grundlagen für die Prävention, Ermittlung und Hilfe für Opfer sexuellen Missbrauchs in der EU zu verbessern. Außerdem soll eine europäische Agentur für die Abwehr und Bekämpfung von sexuellem Missbrauch an Kindern gegründet werden. Der Vorschlag ist bereits auf einige Kritik gestoßen. Was er im Einzelnen beinhaltet und wie er zu bewerten ist, schildern wir in diesem Beitrag.
Das sieht der Vorschlag der EU-Kommission vor
Anbieter von Hosting- und Kommunikationsdiensten sollen zunächst eine Risikobewertung vornehmen müssen. Sie sollen verpflichtet werden, jeden ihrer Dienste regelmäßig daraufhin zu überprüfen, ob der Dienst dazu genutzt werden könnte, um Darstellungen sexualisierter Gewalt an Kindern zu verbreiten oder Kinder gezielt anzusprechen, um sexuellen Kontakt anzubahnen (sog. „Grooming“).
Soweit die Prüfung ein solches Risiko aufdeckt, soll der Anbieter risikomindernde Maßnahmen treffen müssen. Er muss dann beispielsweise bestimmte Inhalte löschen oder Zugänge zu derartigen Inhalten oder ganzen Websites sperren. Die gesammelten Ergebnisse sowie die vorgenommenen Maßnahmen muss der Anbieter den nationalen Behörden und der neu einzurichtenden EU-Agentur melden.
Die zuständigen nationalen Behörden sollen zudem ermächtigt werden, eine „Aufdeckungsanordnung“ („Detection Order“) zu erlassen. Diese verpflichtet Diensteanbieter im Internet sollen technische Maßnahmen ergreifen, um Vorfälle sexuellen Missbrauchs an Kindern in ihren Diensten aufzudecken. Dazu sollen etwa Chats, E-Mails und Beiträge auf Plattformen auf bereits gemeldete Inhalte („Scanning)“, neues potenzielles Missbrauchsmaterial (Uploadfilter) und Anzeichen von „Grooming“ durchsucht werden. Hierfür in Frage kommt etwa die Anwendung einer Hashing-Technologie, mit der ein digitaler Fingerabdruck von bereits als bedenklich identifiziertem Material erstellt werden kann, um die Inhalte danach zu durchsuchen. Neues Material oder Vorfälle von Grooming können mit dieser Methode allerdings nicht erkannt werden.
Die vorgeschlagenen Regelungen sollen für alle Internetanbieter gelten, die ihre Dienstleistungen in der EU anbieten, selbst wenn sie ihre Hauptniederlassung nicht in der EU haben. Dazu gehören insbesondere Hosting Services, Messenger Dienste, App Stores und Internet Access Provider.
Verpflichtet werden sollen jedoch nur Anbieter von Diensten, von denen bekannt ist, dass sie dafür anfällig sind, zum sexuellen Missbrauch von Kindern genutzt zu werden.
Sanktionen bei Pflichtverstößen
Die Ausgestaltung von Sanktionen gegenüber Anbietern, die ihren Pflichten nach der Verordnung nicht nachkommen, überlässt die EU-Kommission den Mitgliedsstaaten. Diese müssen jedoch sicherstellen, dass die Sanktionen wirksam, verhältnismäßig und abschreckend sind. Die Sanktionshöhe muss zudem die Art und Schwere des Verstoßes und die Frage nach Vorsatz oder Fahrlässigkeit berücksichtigen.
Außerdem setzt die Verordnung eine Höchstgrenze, wonach eine Sanktion nicht mehr als sechs Prozent des Jahreseinkommens bzw. des Gesamtumsatzes des letzten Geschäftsjahres betragen darf.
Bewertung des Vorschlags
Die Kommission knüpft mit ihrem aktuellen Vorschlag an die EU-Strategie für eine wirksame Bekämpfung des sexuellen Missbrauchs von Kindern vom Juli 2020 an. Sie hat damit allerdings bereits einige Kritik hervorgerufen.
Bezweifelt wird zunächst die Umsetzbarkeit der Maßnahmen. So sollen Plattform- oder Online-Diensteanbieter als Adressaten einer „Aufdeckungsanordnung“ verpflichtet werden alle Inhalte zu prüfen – also auch Inhalte, die einer Ende-zu-Ende-Verschlüsselung unterliegen. In diesen Fällen kann jedoch nur der Empfänger selbst die Inhalte entschlüsseln. Der Provider hingegen hat nur sehr eingeschränkten Zugriff. Somit würde es für die Provider sehr unattraktiv, eine Ende-zu-Ende-Verschlüsselung anzubieten. Dies ist besonders misslich, weil die Datenschutz-Grundverordnung Unternehmen dazu verpflichtet, die Privatsphäre ihrer Nutzer gerade durch eine Ende-zu-Ende-Verschlüsselung zu schützen.
Verschlüsseltes Material ließe sich auch durch das Sammeln von Metadaten durchsuchen. Metadaten sind Daten, die Informationen zu anderen Daten enthalten, etwa der Häufigkeit von Nachrichten, Uhrzeiten, Adressaten etc. Ein solches Vorgehen wäre zwar besonders schonend für die Privatsphäre der Nutzer eines Online-Dienstes. Doch erhöht es das Risiko von sog. „false positives“. Kritiker wenden somit ein, dass unzählige persönliche Bilder oder Nachrichten ohne einen Bezug zu Kindesmissbrauch als verdächtig eingestuft werden könnten.
Der sehr weite Anwendungsbereich der Verordnung weckt schließlich die Befürchtung, dass die Verordnung Grundlage für eine faktisch anlasslose Massenüberwachung werden könnte. Die vorgeschlagene Einführung einer verpflichtenden Altersverifizierung in App-Stores und bei Messenger Diensten würde zudem eine anonyme Nutzung unmöglich machen. Personen, die ein berechtigtes Interesse an ihrer Anonymität haben, wie etwa Whistleblower, Menschenrechtsverteidiger oder verfolgte Minderheiten wären damit von einer Nutzung praktisch ausgeschlossen.
Ausblick
Trotz der genannten Kritikpunkte, findet der Verordnungsvorschlag auch Zustimmung. Bundesinnenministerin Nancy Faeser twitterte unmittelbar nach Vorstellung des Vorschlags, dass sie den Entwurf als Beitrag zur wirksameren Bekämpfung sexuellen Missbrauchs von Kindern begrüße. Gleichzeitig sieht der Bundesminister für Digitales und Verkehr Volker Wissing in den Plänen jedoch eine Gefahr für digitale Bürgerrechte und lehnt eine allgemeine Chatkontrolle kategorisch ab (ZDF berichtete). Dabei hat Wissing den Koalitionsvertrag der Ampel auf seiner Seite, der ein „Recht auf Verschlüsselung“ ausdrücklich vorsieht.
Neben der sich abzeichnenden Kontroverse zwischen den Koalitionspartnern, ist zudem zu bedenken, dass die Verordnung noch ein Vorschlag ist. Im nächsten Schritt werden das Europäische Parlament und der Rat Veränderungsvorschläge zu dem Entwurf entwickeln. Umfang und Schärfe der zu erwartenden Verordnung sind damit noch nicht sicher absehbar.