Das von den Innenministern de Maizière und Cazeneuve vorgestellte Gesamtpaket ist harter Tobak für Grund- und Freiheitsrechte in Europa. Wir haben die netzpolitisch relevanten Punkte der Erklärung analysiert – von der Ausweitung der Vorratsdatenspeicherung bis hin zur Einführung von Uploadfiltern.

Die Innenminister Frankreichs und Deutschlands haben gestern unter dem Titel „Ein Beitrag zur Erhöhung der inneren Sicherheit in Europa“ eine gemeinsame Erklärung herausgegeben. Diese enthält Forderungen, die das Internet grundlegend verändern könnten. Bei der Veröffentlichung gab es zudem ein Verwirrspiel: Das französische Innenministerium veröffentlichte ausschließlich eine schärfere, nicht-offizielle Version der Erklärung auf ihrer Webseite und löste damit Irritationen aus.

Wir haben uns die gemeinsame Erklärung (DE / FR), die im Vorfeld als „Aktionsplan gegen Verschlüsselung“ angekündigt wurde, Punkt für Punkt durchgesehen. Sie enthält die folgenden netzpolitisch relevanten Punkte:

1. Ausweitung der Vorratsdatenspeicherung auf WhatsApp, Facebook & Co

In der Erklärung heißt es:

Zum Beispiel sollten für alle Kommunikationsdiensteanbieter unabhängig davon, ob es sich um internet-basierte Dienste oder Telekommunikationsdienste handelt, im jeweiligen Land, in dem die Kommunikationsdienstleistung angeboten wird, dieselben Verpflichtungen zur Zusammenarbeit mit Sicherheitsbehörden gelten (unabhängig davon, wo sich der rechtliche Sitz des Diensteanbieters befindet).

Die Forderung, Telemediendienste rechtlich in Telekommunikationsdienste umzuwandeln, findet sich schon in de Maizières Überwachungsoffensive und in der Berliner Erklärung. Durch diese rechtliche Einstufung soll bei Diensten wie WhatsApp, Threema, Signal, aber auch Twitter oder Facebook eine Telekommunikationsüberwachung erleichtert und die Vorratsdatenspeicherung ermöglicht werden. Das wird tendenziell natürlich schwierig werden, wenn die Firmen ihren Sitz nicht in einem europäischen Land haben – und könnte sich hierzulande als Innovationshemmnis auswirken. Diese Änderung soll in die ePrivacy-Richtlinie der EU einfließen.

2. Uploadfilter & Schwächung des Providerprivilegs sind Gift für Meinungsfreiheit

In der Erklärung heißt es:

Wir wollen die Internet Referral Unit (IRU) bei Europol durch Einrichtung eines EU-Zentrums zur Bekämpfung von Terrorismus und Radikalisierung im Internet stärken. Eine der Aufgaben dieses Zentrums wird die Aufdeckung entsprechender Inhalte und ihres Austauschs sowie die Verhinderung eines erneuten Uploads bereits identifizierten Materials umfassen.

Und weiter:

Wir wollen auch die Verschärfung des Host-Provider-Privilegs im Sinne einer „Produkthaftung“ bei Mißbrauch für Terrorpropaganda.

Diese beiden Punkte sind – neben den zumindest von französischer Seite geforderten Backdoors gegen Verschlüsselung – die gefährlichsten der gemeinsamen Erklärung. Die Verhinderung eines Uploads wird durch einen Uploadfilter umgesetzt, der im Moment des Hochladens eine Datei prüft. Diese Privatisierung der Rechtsdurchsetzung fordert der deutsche Innenminister schon länger. Uploadfilter können zum Beispiel über Microsofts PhotoDNA realisiert werden. Das Programm kann Inhalte aufgrund ihres digitalen Fingerabdrucks erkennen – der Filter gleicht den Fingerabdruck des Inhaltes mit einer Datenbank verbotener Dateien ab und verhindert dann das Hochladen eines Videos, Audios oder Bildes.

Da Uploadfilter eine technische Lösung sind, die schon vor jeglicher Veröffentlichung greifen, sind sie der Überprüfbarkeit von außen entzogen. Das Problem an solchen Lösungen ist immer: Was gestern für Kinderpornografie galt, heute für terroristische/extremistische Inhalte, kann sich morgen schnell zu anderen unliebsamen Inhalten verschieben. Die Ausweitung vorhandener Infrastrukturen und Gesetze beim Thema Zensur und Überwachung ist ein bekanntes Problem. Wo ein Trog ist, da kommen auch die Schweine. Die Uploadfilter könnten sich also sehr schnell zu einem ausgewachsenen Problem für die Meinungsfreiheit entwickeln.

Eine Aufweichung des Host-Provider-Privilegs durch eine „Verschärfung der Produkthaftung“, die de Maizière schon länger fordert, potenziert das Problem mit den Uploadfiltern: Die privatwirtschaftlichen Hoster oder Social-Media-Plattformen werden dann aus Angst vor einer Haftung für Inhalte auf ihren Seiten noch stärker eingreifen und filtern.

3. Mehr Staatstrojaner oder gar doch Backdoors?

Zum Thema Verschlüsselung sagt die deutsche Version der Erklärung:

Verschlüsselte Kommunikation zwischen Terroristen stellt eine Herausforderung für die Ermittlungsarbeit dar. Es müssen Lösungen gefunden werden, die effektive Ermittlungen mit Blick auf verschlüsselte Daten im Zusammenhang mit terroristischen Aktionen ermöglichen und zugleich der Notwendigkeit des Schutzes digitaler Privatsphäre der Bürgerinnen und Bürger durch Gewährleistung der Erhältlichkeit starker Kryptographie-Systeme sowie dem Grundsatz der Erforderlichkeit und Verhältnismäßigkeit, den Grundrechten und dem Rechtsstaat Rechnung tragen. Wir wollen gute Praxis und innovative Ideen im Umgang mit verschlüsselter Kommunikation im Zusammenhang mit terroristischen Aktionen austauschen und so Hindernisse bei der staatlichen Abwehr terroristischer Gefahren minimieren.

Das klingt ganz schön schwurbelig, aber umschreibt im Großen und Ganzen die Linie der Bundesregierung „Sicherheit durch Krypto, Sicherheit trotz Krypto“. Um dieses Ziel zu erreichen, könnten die beiden Innenminister auf den vermehrten Einsatz von Staatstrojanern setzen, die hier aber nicht explizit genannt werden.

Verkompliziert wurde das Thema Verschlüsselung noch, weil das französische Innenministerium eine eigene (nicht-offizielle) Version der gemeinsamen Erklärung auf seiner Webseite veröffentlichte. Dort ist der folgende Satz enthalten:

Au niveau européen, cela reviendrait à imposer aux opérateurs non coopératifs de retirer des contenus illicites ou de déchiffrer des messages dans le cadre d’enquêtes.

Auf Deutsch übersetzt heißt dieser Satz:

Auf europäischer Ebene würde das bedeuten, dass man nicht kooperativen Betreibern (opérateurs) im Rahmen von strafrechtlichen Ermittlungen vorschreiben kann, illegale Inhalte zu entfernen oder Nachrichten zu entschlüsseln.

Dieser Satz ist in den offiziellen Versionen der gemeinsamen Erklärung nicht enthalten. Es heißt dort nur:

Ergänzend bedarf es einer Prüfung effektiver Maßnahmen im Falle von Rechtsverstößen auf Seiten der Kommunikationsdiensteanbieter.

Die Aussage des französischen Innenministers auf seiner Webseite ist nach unserem Verständnis nichts anderes als die Forderung nach Backdoors oder Generalschlüsseln für verschlüsselte Kommunikationsdienste.

Interpretieren kann man dieses kleine Verwirrspiel um die gemeinsame Erklärung so: Frankreich will die Entschlüsselung auf EU-Ebene durchsetzen, das BMI wollte diese jedoch nicht in der gemeinsamen Erklärung der Minister gedruckt sehen oder lehnt diese tatsächlich ab. Zum Thema Verschlüsselung sagt das BMI gegenüber netzpolitik.org recht eindeutig:

Es wird […] keine gesetzlichen Verpflichtungen zu Schlüsselhinterlegungen oder zur Nutzung von Generalschlüsseln oder gar zu sogenannten „backdoors“ geben. Das kommt für die Bundesregierung nicht in Frage. Die sogenannten Krypto-Eckpunkte der Bundesregierung von 1999 haben weiter Bestand. Das heißt: Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung.

Es wird also sehr wichtig sein, wie jetzt die Verhandlungen auf EU-Ebene verlaufen, denn die EU-Kommission begrüßte die deutsch-französische Initiative. Das BMI wird sich daran messen lassen müssen, ob es sich tatsächlich in diesem Prozess für Verschlüsselung starkmacht.

4. Europaweite automatisierte Bestandsdatenabfrage

In der Erklärung heißt es:

Deutschland und Frankreich gehen voran und stimmen wechselseitig Direktanfragen der Ermittlungs- und Strafverfolgungsbehörden bei den Internetprovidern zu. Das Ziel ist, eine solche Regelung für die gesamte EU zu schaffen. Zudem müssen Europol und die nationalen Polizei- und Strafverfolgungsbehörden in der Lage sein, Bestandsdaten von Internetprovidern abzufragen ohne durch rechtliche Verfahrenshürden Zeit zu verlieren.

Bestandsdaten sind Daten wie Namen und Adressen, aber auch PIN und PUK bei Mobilfunkanschlüssen. Bei einer Bestandsdatenabfrage wird herausgefunden: Wem gehört diese Telefonnummer, wem gehört dieser Internetanschluss? Der Vorschlag der beiden Innenminister ist hier klar: Sie fordern eine europaweite automatisierte Abfrage ohne jegliche rechtliche Überprüfung für Polizeien und Strafverfolgungsbehörden.

5. Weitere Maßnahmen & Fazit

Neben diesen Maßnahmen mit netzpolitischem Bezug enthält die Erklärung:

eine Verschärfung der europäischen Grenzsicherung,

eine Ausweitung der Vorratsdatenspeicherung für Fluggastdaten,

eine Erweiterung des europäischen Datenaustausches,

die Einführung eines Ein- und Ausreiseregisters auch für EU-Bürger,

die Forderung nach einem einheitlichen europäischen „Identitätsmanagement“,

einen erweiterten Datenzugriff für Polizeien,

neue Gesetze für Kontrollen der EU-Binnengrenzen.

Das Gesamtpaket ist harter Tobak für Grund- und Freiheitsrechte, die Maßnahmen aber teilweise schon länger in Planung. Die deutsch-französische Erklärung ist nun als Anschub dieser beiden wichtigen EU-Länder zu verstehen, damit die Projekte schnell zu Gesetzen und Richtlinien werden. Die EU-Kommission reagierte auch prompt, die Sprecherin Natasha Bertaud begrüßte das Paket:

Sicherheit liegt in der Kompetenz der einzelnen Staaten. Aber wenn man die richtigen Rahmenbedingungen auf EU-Ebene schafft, wird das den Mitgliedsstaaten helfen, ihre Pflicht, die eigenen Bürger zu schützen, umzusetzen.

Es wird für Datenschützer und all diejenigen, die Grund- und Freiheitsrechte verteidigen, eine Menge zu tun geben, alleine um das Schlimmste zu verhindern.