Zusammenfassung der Stellungnahme des Generalstaatsanwaltschaft Köln, Zentral- und Ansprechstelle Cybercrime (ZAC) zu der öffentlichen Anhörung des Ausschusses für Digitales des Deutschen Bundestags zur „Chatkontrolle”
Originale Stellungnahme hier.
Die Beurteilung erfolgt vornehmlich unter dem Gesichtspunkt der staatsanwaltschaftlichen und der allgemeinen Strafverfolgungspraxis. Die Perspektiven der Prävention, der verbesserten Compliance und sonstige Auswirkungen auf gesellschaftliche, politische sowie technische Aspekte werden mit Blick auf die hier vorhandene Expertise nur in ihrer jeweiligen Interaktion mit der Strafverfolgung beleuchtet.
Der Verordnungsvorschlag Auswirkungen hat auch auf die Tätigkeit der mit dem Deliktsphänomen des Kindesmissbrauchs im digitalen Raum befassten nationalen Strafverfolgungsbehörden.
Konkrete, wirksame, jedoch stets anlassbezogene Strafverfolgung dürfte im Vergleich zu einer risikobasierten Generalintervention auch in Ende-zu-Ende-verschlüsselte Kommunikationsinfrastrukturen ein deutlich milderes, jedoch (mindestens) ebenso geeignetes Mittel zur verbesserten Bekämpfung des netzkonnexen Kindesmissbrauchs darstellen.
Ohne eine menschliche, wertende und juristisch wie kriminalistisch kompetente Nachschau der als relevant identifizierten Fälle dürfte eine verlässliche Identifikation strafrechtlich relevanter Fälle allein auf KI-Basis nicht möglich sein.
Scanning-Aktivitäten der großen Internetkonzerne (von unverschlüsselten Messengernachrichten und E-Mails, gehosteten Dateien und gepostetem Content) soll nun für Diensteanbieter (u.a. Hostprovider, interpersonelle Kommunikationsdienste, Appstores, Zugangsprovider) verpflichtend sein.
Altersverifizierung: jede anonyme Nutzung von Kommunikationsdiensten würde faktisch unmöglich (da wirksamer Ausschluss Minderjähriger nur durch persönliche Identifizierung, nicht durch bloße Altersbestätigung erreichbar wäre)
Gezielte Aufdeckungspflichten auf der Basis von sog. detection orders (Aufdeckungsanordnungen)
- Anbieter entscheidet, ob eigene Software oder die des EU-Zentrums gegen Kindesmissbrauch genutzt wird.
- Verpflichtung nur durch vollumfassende, automatisierte, weitgehend KI-basierte Prüfung der Kommunikationsinhalte möglich
- automatisierte Scannung aller Inhalte eines Dienstes sind ein Eingriff in europäische (und nationale) Grundrechte
- Überprüfung Ende-zu-Ende-verschlüsselter Inhalte müsste auf den Endgeräten der Nutzer (Client-Side-Scanning) stattfinden, um Verschlüsselung nicht gänzlich abzuschaffen oder technologisch zu schwächen.
- Aufdeckungsanordnungen berühren in erheblichem Maße die Informationssicherheit (Sollbruchstelle für Verschlüsselungstechnologie mit evidentem Risiko- und Missbrauchspotential)
- Auch private Unterhaltungen absolute der Intimsphäre zuzurechnende private Bild- und Videodateien werden von einer Vielzahl von Prüfenden zur Kenntnis zu nehmen und zu prüfen sein
- Diensteanbieter sollen als relevant eingestufte Inhalte einem neu einzurichtenden EU-Zentrum melden und das Materials entfernen.
- Vor einer Weiterleitung vorherige Prüfung durch das EU-Zentrum
- Wirksamer Rechtsbehelf sowohl die Anbieter als auch die Nutzer: u.a. Anfechtung vor den Gerichten des Mitgliedstaats, der zuständigen Justizbehörde oder der unabhängigen Verwaltungsbehörde.
- Individuelle Rechtsbehelfe sind kein hinreichend geeignetes Korrektiv für etwaigen Fehlgebrauch von Aufdeckungsanordnungen. Anbieter mit wirtschaftliche Interessen können Rechtsgarantiefunktion für Nutzer nicht geeignet erfüllen. Dringend Einführung eines starken und unabhängigen Kontrollmechanismus wird benötigt.
- Alle Dienste und Geräte digitaler Kommunikation sind von den Regelungen erfasst, ohne Reichweiten- oder Nutzungsschwellenwerte
- Strafrecht ist angewandte Verhältnismäßigkeit, Strafverfolgung um jeden Preis ist unter der Geltung deutschen und europäischen Verfassungsrechts keine tragfähige Alternative.
Kommissionsvorschlag im Sinne der klassischen Verhältnismäßigkeitstrias muss geeignet, erforderlich und verhältnismäßig im engeren Sinne sein
- Aufdeckungsanordnung erweist sich als nicht uneingeschränkt erforderlich, um das Ziel einer verbesserten und wirksamen Bekämpfung des netzkonnexen Kindesmissbrauchs zu erreichen. Sie begegnet darüber hinaus – teilweise durchgreifenden – Bedenken in Bezug auf ihre Angemessenheit.
- An der grundsätzlichen Legitimität des Zwecks bestehen keine Bedenken
- Mittel dürfte auch geeignet, das heißt in Bezug auf den angestrebten Zweck zumindest förderlich sein.
- Trotz möglicher Verdrängungseffekte zu anderen Technologien oder Anbietern ist die vorgeschlagene Maßnahme nicht als schlechthin ungeeignet zu qualifizieren
- Erhebliche und im Ergebnis durchgreifende Bedenken bestehen in Bezug auf die Erforderlichkeit, insbesondere soweit sie sich gegen Ende-zu-Ende-verschlüsselte Kommunikation richten
- Der Kommissionsvorschlag geht von einem Erkenntnis- und Informationsdefizit der Strafverfolgungsbehörden aus
- Ende-zu-Ende-Verschlüsselung von Täterkommunikation ist im Deliktsfeld des netzkonnexen Kindesmissbrauchs nur in einer deutlich untergeordneten Zahl von Fällen ein durchgreifendes Ermittlungshemmnis.
- Erkenntnisbreite entsteht durch Kombination aus serverseitiger Überwachung, den Ermittlungsverfahren selbst und aus Hinweisen Dritter
- Kommission entfernt sich in Bezug auf Ende-zu-Ende-verschlüsselte Kommunikation in erheblichem Maße von der Realität der Strafverfolgungspraxis. Vielmehr besteht ein strukturelles Handlungsdefizit durch eine unzureichende technische und personelle Ausstattung der Strafverfolgungsbehörden.
- Verbesserte europäische Zusammenarbeit der Ermittlungsbehörden durch ein EU-Zentrum kann einen wesentlichen Beitrag bilden, auch für die Gewährleistung einer vereinheitlichten europäischen Erkenntnispraxis
- Multinationale sogenannte Joint Investigation Teams sollen dauerhaft statt nur verfahrensbezogen aufgestellt werden.
- Gefahr, dass unbescholtene Bürgerinnen und Bürger von behördlichen Ermittlungen betroffen werden, ist signifikant.
- Falsch-positive Meldungen sind für die Ermittlungsbehörden eine Ressourcenfehlallokation
- Vorfilterung im EU-Zentrum bedeutet Ressourcenmehraufwand
Wissenschaftlicher Dienst des Deutschen Bundestags, Ausarbeitung vom 7. Oktober 2022 (WD 10 – 3000 – 026/22): “… unwahrscheinlich, dass eine grundsätzliche Überwachung von Individualkommunikation der Überprüfung der (europäischen) Grundrechte standhalten würde. […] Ausgehend von den genannten Aspekten und Problemen, sieht der aktuelle Verordnungsentwurf unverhältnismäßige Eingriffe in die geprüften Grundrechte der GRCh vor”
Erkennungsdelta
- Hashes für bekanntes und als solches klassifiziertes Missbrauchsmaterial
- KI soll unbekanntes Missbrauchsmaterial detektieren ist aber fehleranfällig und benötigt invasive Methoden
- Durch Hashes deutlich minimierte und im Ergebnis angemessene Eingriffsintensität möglich, hinreichend wirksam
- Schliessen des Detektierungs-Deltas durch Ertüchtigung der Strafverfolgungsbehörden
Ende-zu-Ende-Verschlüsselung ist für digitale Kommunikation das einzige wirksame Mittel, deren Vertraulichkeit zu schützen. Sie stellt für Privatpersonen, Unternehmen, Behörden und die Strafverfolgung (inkl. besonders geschützte Berufsgruppen wie Strafverteidiger ) die wichtigste digitale Schutzmaßnahme dar. Verschlüsselung ist aus technischer Sicht entweder wirksam oder kompromittiert. Geschwächte oder durch ein Instrument wie die Aufdeckungsanordnung strukturell unterminierte Verschlüsselung ist faktisch keine Verschlüsselung.
Empfehlungen
- Ertüchtigung und Stärkung der Strafverfolgungsbehörden
- Statt durch den EuGH verworfene „Vorratsdatenspeicherung“ eine begrenzten IP-Zuordnung
- Live-Ausleitung aktueller IP-Daten ohne eine retrograde Speicherung („Login-Falle“), mit zeitlich sehr begrenzter Speicherdauer für IP-Zuordnungsdaten von einer Woche.
- Verbesserung der internationalen Zusammenarbeit auf europäischer Ebene
- EU-Zentrum als Kompetenz- und Koordinierungszentrum
- Netzsperren sind leicht zu umgehen, besser Material löschen und Personen strafrechtlich verfolgen. “verfolgen statt nur sperren”