Datenschutz Europa
Herbst 2024: EU-Pläne für umfassende digitale Überwachung
Im Herbst stehen mehrere Termine in Brüssel an, bei denen es um das kaum bekannte "Going Dark"-Programm gehen wird. Wer sich für digitale Grund- und Freiheitsrechte interessiert, sollte da mal genauer hinschauen. Es geht um die Wiedereinführung der anlasslosen und massenhaften Speicherung von Telefon- und Internetdaten und um den Zugriff auf alle verschlüsselten Daten in Smartphones, bei Dienstanbietern oder in Fahrzeugen.
In dieser Kolumne habe ich das Programm bereits zweimal kurz erwähnt. Einmal in einem Text, der die EU-Ambitionen bei Klimaschutz und digitaler Überwachung vergleicht und einmal in einem Text über digitale Überwachung und ansteigenden Rechtspopulismus. Das „Going Dark“-Programm hat durchaus das Potenzial sich zum größten Überwachungsprojekt der EU zu entwickeln, parallel zur sogenannten Chatkontrolle. Nur gut informiert lässt sich schlechte Politik verhindern und darum geht es diesmal etwas ausführlicher um #EuGoingDark.
Was ist #EuGoingDark?
#EuGoingDark ist ein aktivistischer Hashtag für die Arbeit der „Hochrangigen Gruppe für den Zugang zu Daten für eine wirksame Strafverfolgung“ (Website). Diese EU-Arbeitsgruppe wurde im Sommer 2023 gegründet. Sie hat bereits ein Jahr später, im Juni 2024, ein Dokument veröffentlicht, dass 42 Empfehlungen für Maßnahmen enthält, die die EU-Kommission umsetzen soll.
Seit Gründung der Gruppe habe ich das Thema für den inzwischen aus dem EU-Parlament ausgeschiedenen Piraten-Abgeordneten Patrick Breyer verfolgt. Unter dem Hashtag #EuGoingDark haben wir angefangen, auf die problematischen Aspekte der Arbeitsgruppe aufmerksam zu machen.
Was bedeutet der Hashtag #EuGoingDark?
#EuGoingDark steht für das „Going-Dark“-Programm der EU und geht zurück auf eine Präsentation des schwedischen Justizministeriums von 2023. Unter dem Titel: „The fight against organised crime in the digital era – ‚Going dark’'“ wird darin für einen Neuanlauf der umstrittenen Vorratsdatenspeicherung und für neue Zugangsmöglichkeiten zu verschlüsselten Daten geworben. Mit ‚Going dark‘ verschlagworten Regierungen und Strafverfolgungsbehörden schon länger die These, dass sie ohne schärfere Überwachung Kriminalität nicht aufklären können.
Unter #EuGoingDark wird das Programm kritisch diskutiert. Außerdem ist der Hashtag eine Anspielung auf die mangelhafte Transparenz des Programms, das zu großen Teilen im Dunkeln erarbeitet wird. So sind etwa die Teilnehmer der dazugehörigen Arbeitsgruppe unbekannt. Die Gruppe ist nicht im Transparenz-Register der EU zu finden und NGOs wurden nicht auf Augenhöhe eingebunden.
Was will die „Going Dark“-Arbeitsgruppe?
Einerseits fordert die Gruppe in ihren Empfehlungen eine verbesserte Zusammenarbeit von Justiz und Polizeien der EU-Mitgliedsländer. Andererseits verlangt sie von der EU-Kommission den Aufbau einer umfassenden Überwachungs-Infrastruktur in der gesamten EU. Im Wesentlichen geht es dabei um die zwei Dauerthemen Vorratsdatenspeicherung und Verschlüsselung.
Speicherung von Kommunikations-Daten
Die vorgeschlagene Wiedereinführung einer EU-weiten Vorratsdatenspeicherung würde bedeuteten, dass in der gesamten EU massenhaft Internet- und Telefondaten von allen Bürgerinnen und Bürgern gespeichert würden, ohne dass ein Verdacht vorliegt. In Berlin ist die Vorratsdatenspeicherung von IP-Adressen nach wie vor ein ungelöster Streit in der Ampel. Durch das „Going Dark“-Programm könnte die umstrittene Massenüberwachung nach einer ganzen Reihe von Urteilen des EU-Gerichtshofs allerdings über Bande durch Brüssel eingeführt werden, wie die Legal Tribune Online sehr gut zusammenfasst.
Zugriff auf alle verschlüsselten Daten
Um möglichst in Echtzeit auf verschlüsselte Daten zugreifen zu können, empfiehlt die Gruppe der EU-Kommission die Einführung eines sogenannten Vordertür-Ansatzes, der stellenweise auch „Security by Design“ genannt wird. Grob gesagt ist die Idee, dass Strafverfolgungsbehörden jederzeit Zugriff auf alle digital vernetzte Geräte haben, die Kommunikation erlauben oder relevante Daten wie Standortdaten verarbeiten. Gesetze sollen das legal machen und technisch sollen Geräte und Services von Anfang an so gebaut und betrieben werden, dass das jederzeit möglich ist. Haftstrafen und Importverbote sollen dafür sorgen, dass Technik, die diesen Zugriff nicht erlaubt, aus der EU verschwinden.
Ironischerweise stammt die Idee einer solchen grundsätzlichen Technikgestaltung ursprünglich aus dem Datenschutz und wäre für klimafreundliche Technik tatsächlich dringend notwendig. Für die IT-Sicherheit und für digitale Grund- und Freiheitsrechte hätte eine derartige Zugriffs-Infrastruktur allerdings enorme negative Folgen. Keine Information wäre vertraulich. Weder private noch geschäftliche Geheimnisse. Polizeien, Geheimdienste, Service-Betreiber und Kriminelle, die diese Infrastruktur ausnutzen, hätten potenziell vollen Zugriff auf das digitale Leben aller Menschen. Die Idee, Verschlüsselung grundsätzlich auszuhebeln, ist nicht neu, aber zeitlos realitätsfern. Das „Going Dark“-Programm könnte die EU-Kommission zu weiteren Schritten in diese Richtung inspirieren.
Fragwürdige Arbeitsweise
Umstritten sind nicht nur die Forderungen der „Going Dark“-Arbeitsgruppe, sondern auch deren Arbeitsweise. Nichtregierungsorganisationen wurden nicht an den Treffen der Gruppe beteiligt, obwohl die Gruppe eine „kollaborative und integrative Plattform für Akteure aus allen relevanten Sektoren inklusive (…) [u.a.] NGOs“ sein will. Letztendlich sind die 42 Empfehlungen hinter verschlossenen Türen entstanden – wer daran mitgearbeitet hat, ist unbekannt. Der schwedische VPN-Anbieter Mullvad hat berichtet, dass mindestens ein ehemaliger US-Geheimdienstler an den Treffen teilgenommen hat.
Hinzu kommt: Die, mutmaßlich nachträglich geänderten, Transparenzregeln der Gruppe entsprechen nicht den eigentlich angebrachten EU-Standards. Inhaltlich ist die Gruppe daran gescheitert, ihre Forderungen mit Belegen zu begründen. An keiner Stelle wird ausgeführt, warum eine Maßnahme notwendig sein soll, wie und ob sie geeignet und verhältnismäßig ist, welche Vor- und Nachteile mögliche Alternativen haben und welche negativen Konsequenzen für IT-Sicherheit, Datenschutz sowie Grund- und Freiheitsrechte entstehen. Die Gruppe geht von der Annahme aus, dass in der digitalisierten Welt zunehmend Räume entstehen, zu denen Strafverfolgungsbehörden keinerlei Zutritt haben. Auch diese Annahme ist nicht belegt. Kritiker*innen halten entgegen, dass Strafverfolger noch nie zuvor so viele Daten zur Verfügung hatten. Die „Going Dark“-Gruppe befürchtet, im Dunkeln zu tappen und verlagert ihre politische Arbeit selbst ins Dunkle.
Wie geht es weiter?
Die große Frage ist, ob die Forderungen der „Going Dark“-Gruppe in Brüssel Gehör finden werden, oder nicht. Dabei spielt es natürlich eine Rolle, wer die neuen zuständigen EU-Kommissar*innen werden, wie sich EU-Abgeordnete dazu positionieren und ob es kritische Stimmen aus der Zivilgesellschaft geben wird. Im Herbst soll es ein abschließendes Treffen der Arbeitsgruppe geben, bevor sich die Justiz- und Innenminister*innen über die Forderungen austauschen werden.
Außerdem steht Mitte Oktober ein Treffen von EU- und US-Vertreter*innen an, bei dem es durchaus auch um dieses Thema gehen kann.
Wer informiert bleiben will, kann natürlich dem Hashtag #EuGoingDark folgen, ansonsten sind das die wichtigsten Quellen für das Thema: netzpolitik.org, der netzpolitische EU-Dachverband EDRi, die britische NGO Statewatch und Patrick Breyer. Ich würde mich freuen, wenn grundrechtsfreundliche und gezielte alternative Maßnahmen diskutiert werden würden. Auch dafür gibt es schon einen Hashtag: #EuRealSolutions.