Die Chatkontrolle scheiterte am Widerstand von Österreich, Deutschland, den Niederlanden, Tschechien und Polen.
EPA/OLIVIER MATTHYS

Belgien hat es also nicht geschafft, auf den letzten Metern der Ratspräsidentschaft und vor der Sommerpause noch eine Mehrheit für die Messengerüberwachung zusammenzukratzen. Offenbar "spürte" die Ratspräsidentschaft keine Mehrheit im Saal. Neben Österreich haben sich auch Deutschland, die Niederlande, Tschechien und Polen gegen das Vorhaben zur Bekämpfung von Darstellungen von Kindesmissbrauch ausgesprochen. Unter diesem Deckmantel des Kinderschutzes wurde nämlich einmal mehr versucht, den EU-Mitgliedsländern die Massenüberwachung schmackhaft zu machen.

Dass die Entscheidung äußerst knapp werden würde, war klar. Auf den letzten Metern zum Ratsbeschluss für die Chatkontrolle wurde sogar noch ganz tief in die Trickkiste gegriffen: Denn eine "formelle" Abstimmung gab es nicht. Ebenso wenig wurden die Positionen der Staaten einzeln gezählt. Die belgische Ratspräsidentschaft fragte stattdessen, ob sie ausreichend Unterstützung für die Chatkontrolle im Raum "spürt". Offenbar war dies nun nicht der Fall. Auch dieses Vorgehen hatte im Vorfeld für Spott gesorgt: Selbst bei Sitzungen von kleinen Sportvereinen gelten strengere Regeln, hieß es etwa aus Regierungskreisen in Österreich. Gegenüber Politico wurde ein EU-Diplomat zitiert, der erklärte, bei der Abstimmung handle es sich "um keine exakte Wissenschaft".

Konkreter wäre da schon der Gesetzesvorschlag an sich gewesen. Belgien hätte den "Rechtsakt zur Bekämpfung des sexuellen Missbrauchs von Kindern" (Child Sexual Abuse, daher auch der informelle Name CSA-Verordnung) verabschieden wollen. Damit wäre eine umfassende vorsorgliche Überprüfung sämtlicher digitaler Kommunikation einhergegangen.

Aus Verbrecherjagd wird Massenüberwachung

Die Chatkontrolle funktioniert so: Möchte man eine Nachricht über einen verschlüsselten Messengerdienst wie Signal, Threema oder Whatsapp verschicken, wird diese vor der Übermittlung auf Darstellungen von sexuellem Missbrauch von Kindern gescannt und mit einer Datenbank bekannter Abbildungen abgeglichen. Dies wird Client-Side-Scanning genannt, obwohl man in Brüssel zuletzt den Begriff "Upload-Moderation" verwendete. Das soll den Vorteil haben, dass die Verschlüsselung nicht aufgehoben werden muss. Denn eine Mehrheit für ein Aufbrechen der Ende-zu-Ende-Verschlüsselung war nicht in Sicht. So wollte etwa Frankreich nur zustimmen, wenn die Verschlüsselung unangetastet bleibt. Eine Kehrtwende, denn die Regierungen von Ländern wie Deutschland, Österreich, Frankreich, Polen, den Niederlanden, Italien, Estland und Finnland haben während des gesamten Prozesses bereits Bedenken angemeldet.

Praktisch läuft Client-Side-Scanning aber auf dasselbe hinaus. Österreichische Wissenschafter warnten etwa am Mittwoch vor den weitreichenden Konsequenzen. Eine solche Scan-Software ist nämlich garantiert angreifbar, argumentierten die Experten, und stelle deshalb ein enormes Risiko für die Bürgerinnen und Bürger und die Europäische Union selbst dar. Ein solches System werde sofort zum Primärziel staatlicher Hacker, etwa aus Russland, so die Forschenden.

Breite Front der Kritik

Damit hört die Kritik an der Chatkontrolle nicht auf. Um im Rat die Zustimmung der Mehrheit der Länder zu gewinnen, hat der belgische Vorsitz der Messengerüberwachung das Etikett "freiwillig" umgehängt. Offenbar lautete die Argumentation, dass es sich nicht um erzwungene Massenüberwachung handelt, wenn die Userinnen und User dem Lauschangriff freiwillig zustimmen. Messengerapps sollen künftig nachfragen, ob man Client-Side-Scanning zulassen möchte. Lehnt man dies ab, kann man aber keine Bilder, Videos oder URLs mehr verschicken.

Messengerdienste galten in dem belgischen Entwurf als besonders gefährlich, weil viele wie Signal, Threema, Whatsapp oder Facebook Messenger die Nachrichten verschlüsseln. Dass jemand die Nachrichten mitliest, ist technisch nach derzeitigem Stand nicht möglich. Gerade diese auf Sicherheit und Privatsphäre hin optimierten Programme gelten laut dem Entwurf als besonders gefährlich. Sie dürften wohl als Erste von einer sogenannten Aufdeckungsanordnung betroffen sein – sprich: Sie würden verpflichtet, ein System zum Client-Side-Scanning einzuführen. Signal und Threema haben jedenfalls betont, dass es in ihrer Software keine künstlich geschaffenen Lücken geben wird. Selbst wenn die Messagingapps vom europäischen Markt verschwinden würden.

Für besonders dumme Kriminelle

Das führt zum nächsten Problem: Die Chatkontrolle kann man getrost als eine Maßnahme für besonders dumme Kriminelle bezeichnen. Denn natürlich ist ein Dienst wie Signal in Europa nicht einfach verschwunden, und es wird immer Möglichkeiten geben, an die internationale Version des Programms zu kommen. Für das organisierte Verbrechen ist es zudem ein Leichtes, eine eigene Software zur verschlüsselten Kommunikation zu entwickeln.

Vor der Sitzung hat sich eine breite Front gegen die belgischen Pläne gebildet: Die Entwicklerfirma hinter dem Messenger Threema sowie die Signal Foundation kritisieren das Vorhaben scharf. Der Chaos Computer Club erklärte, dass es am Ende das Gleiche sei, ob man nun die Verschlüsselung breche oder ob man vor der Verschlüsselung bei Inhalten mitlese. Sprecher Linus Neumann nannte die Verordnung einen "Hütchenspielertrick". Meredith Whittaker warnte: Es sei letztlich egal, ob man das Untergraben von Verschlüsselung nun Hintertür, Vordertür oder "Upload-Moderation" nenne. "Es gibt keine Möglichkeit, die Integrität der Ende-zu-Ende-Verschlüsselung zu bewahren und gleichzeitig verschlüsselte Inhalte der Überwachung auszusetzen", schreibt Whittaker.

In einem offenen Brief stellten sich Parlamentarier aus Österreich, Deutschland, Luxemburg und den Niederlanden gegen die Pläne. "Ein solches Vorgehen wird dem Image der Europäischen Union als Garant der Freiheit irreparablen Schaden zufügen", heißt es in dem hauptsächlich von Grünen und Liberalen signierten Schreiben. Aus Österreich haben sich die Grünen, Neos und die SPÖ den Aussagen angeschlossen.

Widerstand zahlt sich aus

Offensichtlich hat sich der Widerstand (DER STANDARD berichtete ausführlich) ausgezahlt. Bis zuletzt zeichnete sich ein Nervenkrieg ab. Eigentlich hätte die Abstimmung schon am Mittwoch erfolgen wollen, der Ratsvorsitz verschob die Sitzung aber auf Donnerstag. Am Mittwochabend begann dann die Front zu bröckeln: Deutschland machte den Anfang und erklärte, dass man dem Regelwerk nicht zustimmen werde.

Das warf anfangs mehr Fragen auf, als es beantwortete. Schließlich war unklar, wie eine "Nichtzustimmung" in dem Gremium von den Belgiern tatsächlich gewertet würde. Noch in der Nacht präzisierte Innenministerin Nancy Faeser die deutsche Position als Ablehnung. Angeblich stand eine Ablehnung Österreichs schon länger fest, auch wenn man das nicht kommunizierte. Ähnlich dürfte auch in Prag, Amsterdam und Warschau vorgegangen worden sein.

"Die heutige Vertagung der Chatkontrolle im Rat ist ein bedeutender Erfolg und zeigt, dass unser kontinuierlicher Einsatz gegen die anlasslose Überwachung und für die Wahrung der Bürgerrechte wirkt", erklärt Süleyman Zorba, Digitalisierungssprecher der Grünen. "Auch wenn wir heute einen Etappensieg erreicht haben, müssen wir wachsam bleiben. Es ist zu befürchten, dass die ungarische Ratspräsidentschaft die Verhandlungen wieder aufnimmt. Wir werden dem konsequent entgegentreten und uns auch in Zukunft gegen Überwachungspläne aller Art wehren sowie für den Erhalt unserer Grundrechte im Netz kämpfen".

Erleichterung kommt auch aus der Wissenschaft: "Es ist sehr erfreulich, dass sich die österreichische Position so wie die aus Deutschland, den Niederlanden, Polen und der Tschechischen Republik an den wissenschaftlichen Erkenntnissen und faktischen Gegebenheiten, was technisch möglich bzw. unmöglich ist, orientiert. Auch die letzte Version des Gesetzesvorschlags hätte nicht den erwünschten Schutz erzielen können, sondern deutlichen Schaden für die europäische Bevölkerung erzeugt, und die Ablehnung ist daher die richtige Entscheidung", so René Mayrhofer, Leiter des Instituts Networks and Security an der Johannes-Kepler-Universität Linz.

Ungarn wird es wieder versuchen

Ist die Chatkontrolle damit endgültig und für immer vom Tisch? Nein, denn Ungarn übernimmt jetzt den Ratsvorsitz, und es gilt als wahrscheinlich, dass ein neuer Versuch gestartet wird, die Messengerüberwachung doch noch Realität werden zu lassen. Ob diesmal eine Aussicht auf Erfolg besteht, ist unklar. Vor den Belgiern sind auch die Spanier mit ähnlichen Plänen gescheitert. Im zweiten Halbjahr 2024 dürfte die Diskussion also wieder von vorn losgehen. Aber wenn sich der Rat irgendwann möglicherweise auf eine Messengerüberwachung einigt, heißt das noch gar nichts, denn das jüngst neu gewählte EU-Parlament muss ebenso zustimmen.

Werden sich Rat und Parlament nicht einig, wird ein Vermittlungsausschuss berufen. Wird auch dann keine Einigung erzielt, ist die Chatkontrolle vom Tisch. Das ist bereits Ende 2023 einmal passiert, bevor sie im Frühjahr 2024 im neuen Gewand wieder auftauchte und jetzt erneut gescheitert ist. (Peter Zellinger, 20.6.2024)