Change language: Deutsch

Going Dark-Expertengruppe – Überwachungsschmiede der EU

Meinen Tröt auf Mastodon boosten oder kommentieren

Inhalt:
· Was ist #EUGoingDark?
· Was machen die Piraten gegen diese Pläne?
· 42 Kernpunkte des geheimen #EUGoingDark-Überwachungsplans
· Die dunkle Arbeitsweise von #EUGoingDark
· Presseberichte
· Dokumente


Was ist #EUGoingDark?

Das #EUGoingDark-Programm ist eine EU-Arbeitsgruppe, die im Juni 2023 von der EU-Kommission gegründet wurde. Ihr offizieller Name lautet »Hochrangige Gruppe für den Zugang zu Daten für eine wirksame Strafverfolgung« (Website).
Den Vorsitz hat die EU-Kommission gemeinsam mit der rotierenden EU-Ratspräsidentschaft, das sind die Regierungen der EU-Mitgliedsländer.

Offiziell hat die Gruppe den Auftrag, in einem offenen Prozess Vorschläge für politische Strategien und Gesetze zu den Herausforderungen bei der digitalen Strafverfolgung zu erarbeiten.

In Wirklichkeit handelt es sich bei #EUGoingDark um eine intransparente Überwachungsschmiede: Polizeien und Regierungen ignorieren die Zivilgesellschaft und wollen ungestört die Vorratsdatenspeicherung wieder einführen und Verschlüsselung aushebeln.
Fazit: Hier werden im Dunkeln undemokratische Vorverhandlungen geführt, die der nächsten EU-Kommission als Blaupause für zukünftige Überwachungsgesetze dienen sollen.

Was unternehmen die Piraten gegen die #EUGoingDark-Pläne?

Wir Piraten forderten schon früh die Auflösung der undemokratischen #EUGoingDark-Gruppe. Wir kämpfen um Transparenz, tauschen uns mit der Zivilgesellschaft aus und informieren die Bürgerinnen und Bürger. Immer wieder habe ich Dokumente zu den Treffen der Arbeitsgruppe und ihrer Untergruppen angefragt und musste oft Monate warten, um dann keine, wenige oder fast vollständig geschwärzte Dokumente zu erhalten. Was wir zusammentragen konnten, haben wir zugänglich gemacht und analysiert: meine Blogbeiträge zu #EUGoingDark. Meine Einschätzung ist:

„Es ist klar, dass hier undemokratische Vorverhandlungen geführt werden unter anderem zur Wiedereinführung der höchstgerichtlich gestoppten Vorratsdatenspeicherung, gegen Verschlüsselung und zur Einführung des »Security by Design«-Konzepts, das besser „Surveillance by Design“ heißen sollte. Undemokratisch ist die Gruppe, weil NGOs und Wissenschaftler*innen daran gehindert werden, auf Augenhöhe mitzuarbeiten.

42 Kernpunkte des geheimen #EUGoingDark-Überwachungsplans

Überschrift
der Info-Grafik: EuGoingDark – Überwachungsplan für die EU





Ziel:
Zugang zu allen Geräten und Daten jederzeit





Neben
einem Laptop, einem Server, einem Smartphone, einem Gaming-Controler
und einem PKW folgende Stichpunkte:

·
EU-weite pauschale Vorratsdatenspeicherung 


·
Polizei-Generalschlüssel für Telefone, Autos, Iot-Geräte etc. 


·
»Zugang by design« zu allen geräten 


·
Bewegungsprofil-Schalter: Geo-Lokalisierung ein- & Ausschalten 


·
Zugang zu Inhalten Trotz Verschlüsselung 


·
Technik-Standards für Zugang anpassen (6 G Internet etc.)

#EUGoingDark hat intransparente politische Vorarbeit für eine Wiedereinführung einer anlasslosen Vorratsdatenspeicherung von Kommunikations- und Standortdaten aller Menschen in der EU und für die Abschwächung von verlässlicher Verschlüsselung von Daten und Kommunikation geleistet.

Im Juni 2024 konnte ich endlich den „vertraulichen“ 42-Punkte-Überwachungsplan einsehen, der der neuen EU-Kommission als Wunschliste vorgelegt wird.

Drei Unter-Arbeitsgruppen haben diese Pläne erarbeitet:

Verschlüsselung: Zugriff auf Geräte

Die #EUGoingDark-Gruppe will Zugangs- und Überwachungswege zu unseren Geräten (z.B. Smartphones, Smart Homes, Pkw) und Anwendungen entwickeln. Dabei setzt sie auf Industrie-Kooperation, die Beeinflussung von Technik-Standardisierungsgremien und standardisierte Zugangs-Protokolle. Die Gruppe will das Konzept »Security by Design« in der EU etablieren. Das bedeutet, dass Technik nach den Wünschen von Polizeien und Geheimdiensten entwickelt und von vornherein abhörbar gestaltet werden soll. Kurz: Ermittlungsbehörden sollen Zugang zu Daten auf allen unseren Endgeräten bekommen können. Auch wenn die Gruppe das explizit verneint: Es geht hier um Hintertüren in der einen oder anderen Form.

Vorratsdatenspeicherung

Der Europäische Gerichtshof hatte in einem Grundsatzurteil das damalige Gesetz für eine EU-weite Vorratsdatenspeicherung von Telefon-, Internet- und Standortdaten gekippt. Viele EU-Regierungen haben das Urteil ignoriert und Druck auf den EuGH ausgeübt. Mit der Zeit hat der EuGH immer weitreichendere Ausnahmen zum Verbot der Vorratsdatenspeicherung ergänzt. Anstatt Kommunikationsdaten von Bürgerinnen und Bürgern zu schützen, will die #EUGoingDark-Gruppe die pauschale Massenüberwachung wieder einführen. Als Vorbild dient, soweit bisher bekannt, das belgische Modell, gegen das bereits geklagt wird.

Verschlüsselung: Zugriff auf Daten während der Übertragung

Auch die dritte #EUGoingDark-Unterarbeitsgruppe erarbeitet Pläne zum Aushebeln von Verschlüsselung. Ihr Fokus liegt auf dem Echtzeit-Zugriff auf Daten während der Übertragung. Ein besonderer Dorn im Auge der Arbeitsgruppe sind verlässliche Verschlüsselung und „Architekturen zum Schutz der Privatsphäre“.

Die dunkle Arbeitsweise der #EUGoingDark-Gruppe

Warum der #EuGoingDark-Plan keinerlei Basis für politische Arbeit sein darf
Die #EuGoingDark-Pläne wurden weitgehend im Verborgenen unter Ausschluss von Digital- und Grundrechteorganisationen geschmiedet. Ihre Agenda und Ziele sind politisch einseitig; Kritik ist nicht willkommen; grundrechtsschonende Lösungen und maßvolle Vorschläge wurden ignoriert. Transparenz und Kollaboration wurden versprochen, aber nicht umgesetzt. Und ganz grundsätzlich ist die Behauptung, dass Strafverfolger im Internet zunehmend im Dunkeln tappten, lediglich ein politischer motivierter Mythos. Studien zeigen, dass diese Behauptung sachlich falsch ist (siehe u. a.: Harvard: »Don’t Panic Making Progress on the “Going Dark” Debate« oder Cyber Science Center Niederlande: »De rol van encryptie in de opsporing«).

Überschrift
der Info-Grafik: EuGoingDark – Überwachungsplan für die EU



Info-Kasten:
Pseudo-Transparenz: #EuGoingDark
ist definitiv keine „kollaborative und inklusive Plattform“.⁴ 

→
Die
Ergebnisse können keine Basis für politische Arbeit sein.




·
Keine Zeitnahe Veröffentlichung von Protokollen ¹ 


·
Kerndokumente fast vollständig geschwärzt … 


·
… oder überhaupt nicht zugänglich (flash reports) 


·
Begründung: "Themen (…) erwiesen sich als hoch kontrovers"
² 


·
Zugang zu Dokumenten erst nach Fertigstellung der Ergebnisse 


·
Agenda und Ziele sind politisch einseitig 


·
Digitale-Grundrechte NGOs durften nicht an Treffen teilnehmen³




Quellen:


¹
https://web.archive.org/web/20231015002832/https://home-affairs.ec.europa.eu/system/files/2023-10/Rules%20of%20procedure%20of%20the%20HLG_en.pdf


²
https://fragdenstaat.de/anfrage/documents-of-the-hlg-on-access-to-data-for-effective-law-enforcement-and-of-its-sub-groups/908532/anhang/reply-2024-1438_geschwaerzt.pdf


³
https://home-affairs.ec.europa.eu/networks/high-level-group-hlg-access-data-effective-law-enforcement_en#meetings


⁴
https://edri.org/?s=going+dark

Digitale Grundrechte auf stumm gestellt – dafür Überwachungs-PR
Die EU-Kommission versteckt die Teilnehmenden der Treffen der #EUGoingDark-Gruppe. Ich habe mehrfach Teilnehmerlisten angefragt, aber bisher nur vollständig geschwärzte Dokumente erhalten. (Mein Tröt dazu.) Bekannt ist daher nur, dass Polizeien und Geheimdienste vertreten sind. Trotz der datenschutz- und grundrechtlich hoch sensiblen Themen hat der EU-Datenschutzbeauftragte lediglich den Status eines Beobachters. NGOs dürfen an den Treffen der Gruppe nicht teilnehmen. Während Grundrechte auf stumm gestellt sind, plant die #EUGoingDark-Gruppe, das EU-Parlament gezielt mit Überwachungs-PR zu beeinflussen.

Politisch einseitige Vorarbeit für neue Überwachungsprojekte
Die Ergebnisse der Arbeitsgruppe sollen der EU-Kommission als Vorschläge für politische Strategien und mögliche Gesetze dienen. Da diese Vorschläge von Anfang an intransparent sowie inhaltlich und politisch einseitig erarbeitet werden, wird es in späteren Phasen der politischen Arbeit zu diesen Themen sehr schwer, alternative grundrechtsschonende Vorschläge in den Prozess einzubringen.

Keine Beteiligung von Zivilgesellschaft auf Augenhöhe
Mehrere NGOs und auch Wissenschaftler*innen haben die #EUGoingDark-Arbeitsgruppe darum gebeten, zu den Arbeitstreffen eingeladen zu werden. Das ist nicht passiert. Stattdessen wurden sie lediglich zu einer öffentlichen Konsultation geladen (EDRi informiert darüber), die inhaltlich nicht in die Arbeit der Gruppe eingeflossen ist. Industrie-Vertreter, Geheimdienste, Polizei-Vertreter und, wie Mullvad VPN berichtet, auch mindestens ein ehemaliger US-Geheimdienstler durften an den Treffen teilnehmen.

1. Taschenspielertrick gegen Transparenz
Mit Taschenspielertricks und Ignoranz blockiert die #EUGoingDark-Arbeitsgruppe ernsthafte Transparenz. Expertengruppen und ihre Untergruppen müssen laut EU-Regeln (Commission Decision C(2016)3301 PDF) im »Register der Expertengruppen der Kommission und anderer ähnlicher Einrichtungen« (Website) eingetragen werden. Hier müssen unter anderem die Namen von Einzelsachverständigen genannt werden. Um Transparenzbestimmungen zu umgehen, hat sich die »EU High-Level Expert Group (HLEG) on access to data for effective law enforcement« (PDF) heimlich in »High-Level Group (HLG) (…)« (Website / Archive) umbenannt. Die Verantwortlichen glauben offenbar, mit diesem Taschenspielertrick EU-Regeln ignorieren und EU-Bürger*innen hinters Licht führen zu können.

2. Taschenspielertrick gegen Transparenz
Die #EUGoingDark-Arbeitsgruppe hat offenbar heimlich ihre eigenen Arbeitsregeln (Rules of Procedure) geändert. In der ursprünglichen Version vom 4. Oktober 2023 (Archive PDF) sind umfangreichere Transparenz-Regeln festgelegt als in der späteren Version vom 22. Januar 2024 (Website PDF). Ich stelle die EU-Kommission in einer schriftlichen Anfrage zur Rede und verlange eine Stellungnahme! (Meine Anfrage vom 25. April 2024.)

Alternativen und Gefahren werden ignoriert
Als Folge von Intransparenz und Abschottung fallen alternative und grundrechtsschonende Alternativen unter den Tisch. So verfolgt die Arbeitsgruppe weiterhin das überholte Konzept der anlasslosen und flächendeckenden Vorratsdatenspeicherung von Kommunikationsdaten aller Bürger*innen obwohl es keine Belege für deren Notwendigkeit und Nutzen gibt. Sinnvolle und dringend notwendige Maßnahmen, wie etwa für besseren Schutz von Kindern (mein Erklärvideo), spielen bei #EUGoingDark keine Rolle. Gleichzeitig ignoriert die Arbeitsgruppe die Gefahren von anlassloser Massenüberwachung für die Grund- und Freiheitsrechte der EU-Bürger*innen.

Presseberichte

Dokumente

  • 30.05.2024: Aktuell wichtig: Geheimes Protokoll eines Treffens eines EU-Ausschusses der EU-Mitgliedsstaaten (auf netzpolitik.org)
  • 22.05.2024: Aktuell wichtig: »Recommendations from the High-Level Group on Access to Data for Effective Law Enforcement« (PDF auf netzpolitik.org) Mein Statement dazu.
  • 13.04.2023: »Scoping paper for the High-Level Expert Group on access to data for effective law enforcement « (PDF)
  • 06.06.2023: »Commission decision: Setting up a high-level group on access to data for effective law enforcement« (PDF)

Dokumente aus meiner FragDenStaat-Transparenzanfrage »Documents of the HLG on access to data for effective law enforcement and of its sub-groups«, erhalten am 28.05.2024:

  • Dokument 1: Going Dark Flash Report, 17 January 2024 – nicht veröffentlicht
  • Dokument 2: Data Retention: The Belgian Experience | Inhalt: Die Vorratsdatenspeicherung in Belgien als Vorbild für die EU (meine Kritik dazu), sehr viel Polizei-PR, z.B.: “Thanks to this « Narrative » decision was made to repair again the Belgian law”
  • Dokument 3: CJEU Requirements on Data Retention | Inhalt: Juristischer Sachstand zur Vorratsdatenspeicherung eines Professors of Technology Law and Human Rights, Tilburg Uni
  • Dokument 4: Proximus – Operator perspective on the new Belgian data retention framework | Inhalt: Die belgische Vorratsdatenspeicherung aus Sicht eines Telekommunikationsanbieters
  • Dokument 5: Präsentation von ETSI | Inhalt: ETSI’s Technical Committee on Lawful Interception – “In development: TS 103 705: Data Structures for Lawful Disclosure”
  • Dokument 6: Swedish providers response to geographically targeted retention – nicht veröffentlicht
  • Dokument 7: Going Dark Flash Report, 13 February 2024 – nicht veröffentlicht
  • Dokument 8: Präsentation der belgischen Polizei über Echtzeit-Zugriff auf Daten und Geräte | Inhalt: Front-Door-Ansatz, Verschlüsselung, Over-the-top content (OTT) etc.
  • Dokument 9: LEON: Ways forward – nicht veröffentlicht
  • Dokument 10: Europol-Präsentation | Inhalt: Home Routing, SMS interceptoin challenges
  • Dokument 11: Admissibility of evidence from the receiving State’s perspective | Inhalt: “it seems essential to provide for regulation of encrypted communication services through the updating of Electronic Communications Codes”
  • Dokument 12: ETCI TC Cyber | Inhalt: “Provide on-line on the fly real time interception of OTT E2E communications”
  • Dokument 13: EU Science Hub | Inhalt: “Vulnerability management for Internal Security”
  • Dokument 14: Public Prosecution Service NL | Inhalt: “Real time interception and ECS in practice”, wiretapping of ECS vs ICS vs ISP, Microsoft Netherlands Kooperation
  • Dokument 15: EDRI | Lesenswert! Wichtig zu beachten: „EDRi’s written contribution does not amount to a tacit agreement with the objectives of the HLG. What it does instead is to point to the narrow political agenda of the HLG which focuses on law enforcement interests solely. In particular, how law enforcement can get more access to data, without proper regard for the fundamental rights implications of the suggested solutions.“
  • Dokument 16: EACDTA | Inhalt: PR: “Privacy concerns people, not machines. Machines, programs, have no consciousness and are therefore privacy agnostic.”, Vorschlag für “llegal content detection technology”
  • Dokument 17: Going Dark Flash Report, 1 March 2024 – nicht veröffentlicht
  • Dokument 18: Frankreich Innenministerium | Inhalt: “Weapons systems: Pre-commercial procurement”
  • Dokument 19: ILNAS Luxembourg | Inhalt: New paradigm in the European standardization ecosystem – European Standardisation Strategy (COM(2022) 31)
  • Dokument 20: EU-Kommission zum Zugriff auf Daten auf Geräten | Inhalt: “Increase and coordinate the EU effort to engage with identified relevant standardisation bodies.”, “Handbook outlining how to engage with industry to gain insight into the legal processes to gain access to data stored in users’ devices.”, “Legislation for tackling the use of encryption devices which have been proven to be solely used for the purpose of communication between criminal actors.”, “Set obligations for technology providers to facilitate access to data at rest in user’s devices when requested by judicial authorities, for example by providing technical assistance.”
  • Dokument 21: EU-Kommission zur Vorratsdatenspeicherung | Inhalt: “address open challenges such as non-unique IP addresses lack of geolocation or encryption”, “create a level playing field for all electronic communication service providers, including OTTs.”, “Foster Member States’ involvement in setting up standardised formats for data retention and access, based on ETSI standards (notably for categories of data currently not covered by standards).”