Zusammen mit EDRi und ca. 50 anderen Organisationen der Zivilgesellschaft haben wir einen Offenen Brief gegen die Überwachungsagenda #GoingDark unterschrieben. Ziel der Arbeitsgruppe ist ein maximaler Zugang für Ermittlungsbehörden zu privaten Daten.
Wir veröffentlichen hier die von der DVD erstellte deutsche Übersetzung des Dokuments.
An den
Rat für Justiz und Inneres („JI-Rat“, Justice and Home Affairs Council)
nachrichtlich an:
den Ständigen Ausschuss für die operative Zusammenarbeit im Bereich der inneren Sicherheit
(Standing Committee on Operational Cooperation on Internal Security – COSI)
den Koordinierungsausschuss für den Bereich der polizeilichen und justiziellen
Zusammenarbeit in Strafsachen (Coordinating Committee in the area of police and judicial
cooperation in criminal matters – CATS)
Generaldirektorin Beate Gminder und stellv. Generaldirektor Olivier Onidi der
Generaldirektion Migration und Inneres
den Europäischer Datenschutzausschuss
das Europäisches Parlament, Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE)
11. Dezember 2024
Offener Brief mit der Forderung, dass die EU-Agenda für digitale Sicherheit die
Grundrechte fördert und ein sicheres digitales Ökosystem unterstützt
Sehr geehrte Damen und Herren,
wir, die unterzeichnenden Berufsverbände, Medienorganisationen, zivilgesellschaftlichen
Gruppen, Gewerkschaften, Sozialverbände und Technologieunternehmen, schreiben Ihnen
wegen der Notwendigkeit einer EU-Agenda für digitale Sicherheit, die Gerechtigkeit,
Rechenschaftspflicht und die Achtung der Grundrechte gewährleistet und der Entwicklung
eines sicheren digitalen Ökosystems dient.
Wir sind insofern wegen den Empfehlungen und dem Bericht der Hochrangigen Gruppe
(HLG) über den „Zugang zu Daten für eine wirksame Strafverfolgung“ besorgt1. Angesichts
des umfassenden Strebens der HLG, den Strafverfolgungsbehörden den größtmöglichen
Zugang zu personenbezogenen Daten zu gewähren, sehen wir hohe Risiken einer
Massenüberwachung, für die Sicherheit und für den Schutz der Privatsphäre, sollten diese
Empfehlungen als Grundlage für künftige politische Maßnahmen und Rechtsvorschriften der EU dienen.
Wir fordern Sie daher dringend auf bei der Festlegung der EU-Prioritäten in diesem
Politikbereich die folgenden Ratschläge zu berücksichtigen.
Achtung der Grundrechte und Gewährleistung der Sicherheit und Vertraulichkeit des
digitalen Raums
Wir warnen davor, dass den Strafverfolgungsbehörden uneingeschränkte Befugnisse
eingeräumt werden, die zu einer Massenüberwachung führen und die Grundrechte verletzen.
Insbesondere das von der HLG unterstützte Konzept des „lawful access by design “2, das
darauf abzielt den Datenzugang der Strafverfolgungsbehörden in die Entwicklung aller
Technologien einzubeziehen, beunruhigt uns sehr. In der Praxis würde dieses die
systematische Schwächung aller digitalen Sicherheitssysteme bedeuten, auch, aber nicht nur, in Bezug auf die Verschlüsselung. Dieses würde die Sicherheit und Vertraulichkeit
elektronischer Daten und Kommunikationen untergraben, die Sicherheit aller Menschen
gefährden und die Grundrechte der Menschen stark einschränken. Dieses Konzept steht im
Widerspruch zu den immer wieder vorgetragenen Empfehlungen von
Menschenrechtsorganisationen, Datenschutz- und Cybersicherheitsexperten sowie zur
Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR)3.
Deshalb sollten alle Maßnahmen verworfen werden, die den durch die Verschlüsselung
gewährten Schutz umgehen oder abschwächen, da damit die Sicherheit und der Schutz der
Privatsphäre von Millionen von Menschen und öffentlichen Einrichtungen gefährdet und
unweigerlich das gesamte digitale Ökosystem geschädigt würde.
Zudem erinnern wir daran, dass jede künftige EU-weit harmonisierte Regelung zur
Vorratsspeicherung von und zum Zugang zu Daten4 die in der ständigen Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) und des Europäischen Gerichtshofs für
Menschenrechte (EGMR) verankerten rechtlichen Anforderungen zum Schutz der
Grundrechte vor Massenüberwachung, zur Erforderlichkeit und zur Verhältnismäßigkeit
beachten muss. Insofern ist die vorgeschlagene Ausweitung der Verpflichtung zur
Vorratsdatenspeicherung auf praktisch alle Dienste der Informationsgesellschaft,
einschließlich des Internets der Dinge und der internetbasierten Dienste5, besonders
bedenklich, da sie zur ungezielten und wahllosen Speicherung personenbezogener Daten
führen würde. Diese umfassende allgemeine Überwachung würde bei den Menschen das
Gefühl ständigen Überwachtwerdens des Privatlebens hervorrufen, was nicht als mit den oben genannten Anforderungen vereinbar ist.
Wahrung des Rechts auf Privatsphäre und Unverletzlichkeit der geschützten
Informationen
Das Recht auf Privatsphäre und Vertraulichkeit der Kommunikation gilt zwar nicht absolut,
doch muss jeder Eingriff in die Grundrechte den Grundsätzen der Rechtmäßigkeit, der
strikten Erforderlichkeit und der Verhältnismäßigkeit entsprechen. Eine generelle und
wahllose Vorratsspeicherung personenbezogener Daten, die die Erstellung detaillierter Profiledes Einzelnen ermöglicht, sowie Maßnahmen, die die Sicherheit der gesamten privaten Kommunikation untergraben, widersprechen diesen Grundsätzen.
Solche allgemeinen und willkürlichen Maßnahmen betreffen auch Personen, deren
Kommunikation dem Berufsgeheimnis unterliegt, also Ärzten und ihre Patienten, Journalisten und ihre Quellen, Rechtsanwälte und Sozialarbeiter und ihre Klienten. Der für diese Kommunikation gewährte Rechtsschutz ist eine unabdingbare Voraussetzung für die
wirksame Ausübung anderer Grundrechte, einschließlich des Rechts auf ein faires Verfahren
und auf Verteidigung, der Freiheit der Meinungsäußerung und der Informationsfreiheit mit
der Medien- und Pressefreiheit, der Gedanken- und Religionsfreiheit, der Versammlungs- und Vereinigungsfreiheit sowie des Rechts auf soziale Unterstützung und Gesundheitsfürsorge.
Wir befürchten, dass die geplanten weitreichenden Befugnisse der Strafverfolgungsbehörden zum Datenzugriff die Vertraulichkeit geschützter Kommunikation und damit verbundene Grundrechte beeinträchtigen würden. Es besteht die Gefahr, dass diese Maßnahmen zur Verfolgung von Journalisten, Menschenrechtlern, Anwälten, Aktivisten und politischen Dissidenten missbraucht werden. Es ist entscheidend, dass die EU die Unverletzlichkeit von Daten und anderen Beweismitteln garantiert, die dem (anwaltlichen) Berufsgeheimnis unterliegen.
Unterstützung eines sicheren, vertrauenswürdigen und diversifizierten digitalen
Ökosystems
Verantwortungsbewusste Gerätehersteller und Diensteanbieter investieren erhebliche
Ressourcen in die Verbesserung der Sicherheit ihrer Geräte und der Zuverlässigkeit ihrer
Dienste. Damit wird nicht nur den Anforderungen der zunehmend datenschutzbewussten
Nutzer genügt, sondern auch denen der Regulierungsbehörden, die für die Durchsetzung
hoher Standards in den Bereichen Cybersicherheit und Datenschutz zuständig sind. Die EU
verfügt über den einzigartigen Vorteil eines Datenschutzrahmens, der einen hohen rechtlichen Standard für den Schutz der Grundrechte und Freiheiten der Menschen in einer Welt setzt, in der die Privatsphäre ständig angegriffen wird.
Die Vision der HLG ist leider geeignet die Fähigkeit der Europäer künftig vertrauenswürdige
digitale Werkzeuge zu wählen, zu untergraben. Den Betreibern sollen dadurch umfangreiche
und manchmal widersprüchliche Verpflichtungen auferlegt werden. So sollen sie gezwungen werden mehr Nutzerdaten zu sammeln und zu speichern, als für die Bereitstellung ihrer Dienste erforderlich sind, das Abhören in Echtzeit6 zu ermöglichen und entschlüsselte Daten an die Strafverfolgungsbehörden weiterzugeben ohne dabei die Sicherheit ihrer Systeme zu gefährden. Entgegen der Intention der HLG, die digitale Sicherheit zu wahren, besteht real keine technische Möglichkeit, das Versprechen der Ende-zu-Ende-Verschlüsselung zu brechen, ohne die Sicherheit der Kommunikationssysteme zu schwächen. Eine Hintertür – oder jeder andere Umgehungsmechanismus –, der für die Strafverfolgung gedacht ist, kann immer auch von anderen Akteuren ausgenutzt werden, wie zahlreiche Beispiele gezeigt haben7.
Zuletzt skizziert die hochrangige Gruppe auch einen besorgniserregenden
Durchsetzungsrahmen, der harte Sanktionen zur Abschreckung und Bestrafung der
Nichteinhaltung von EU-Verpflichtungen und Strafverfolgungsanordnungen vorsieht
(Verwaltungssanktionen, Handelsverbot, Haftstrafen)8. Wir sehen dadurch die Gefahr, dass
zuverlässige Anbieter sicherer Dienste, wenn sie kleine oder gemeinnützige Unternehmen
sind, vom EU-Markt oder von Geschäftsfeldern verdrängt werden oder dass sie, wenn sie den Sitz in der EU haben, daran gehindert werden sichere Lösungen zu entwickeln. Dies wäre für die Initiativen und Ambitionen der EU im Bereich der Cybersicherheit natürlich äußerst nachteilig.
Wir sind uns darüber im Klaren, dass die den Strafverfolgungsbehörden zur Verfügung
stehenden Ermittlungsmaßnahmen dem digitalen Zeitalter angemessen sein und den
einzigartigen Herausforderungen durch grenzüberschreitende Online-Dienste genügen
müssen. Effizienz darf aber nicht auf Kosten einer Schwächung der Grundrechte, des
Rechtsschutzes und der europäischen Wirtschaft erreicht werden. Wir sind davon überzeugt, dass diese Ziele von allgemeinem Interesse mit weniger einschneidenden Maßnahmen erreichbar sind als mit einer Massenüberwachung und einer systematischen Schwächung zentraler Sicherheitsgarantien.
Wir danken Ihnen im Voraus für Ihre Berücksichtigung und stehen Ihnen für Rückfragen
gerne zur Verfügung.
Mit freundlichen Grüßen,
(Die Unterzeichner)
Access Now – ARTICLE 19, International – Association of European Journalists, Belgium
(AEJ Belgium) – Bits of Freedom, Netherlands – Bolo Bhi, Pakistan – Centre for Democracy
and Technology Europe (CDT Europe) – Chaos Computer Club (CCC), Germany – Civil
Liberties Union for Europe (Liberties) – Committee to Protect Journalists (CPJ) – Community – Media Forum Europe (CMFE) – Council of Bars and Law Societies of Europe (CCBE) – Cryptee, Estonia – D3 – Defesa dos DIreitos Digitais, Portugal – Danes je nov dan, Slovenia – Datenpunks, Germany – Deutsche Vereinigung für Datenschutz e.V. (DVD), Germany – Deutscher Anwaltverein (German Bar Association) – Digital Rights Ireland – Digitale Gesellschaft, Germany – Digitale Gesellschaft, Switzerland – eco – Verband der
Internetwirtschaft e.V. – Electronic Frontier Foundation (EFF), International – Electronic
Privacy Information Center (EPIC), United States of America – Element – Epicenter.works –
for digital rights, Austria – Eurocadres – EuroISPA – The European Association of Internet
Services Providers – European Broadcasting Union (EBU) – European Digital Rights (EDRi)
– European Federation of Journalists (EFJ) – European Magazine Media Association
(EMMA) – European Newspaper Publishers’ Association (ENPA) – European Publishers
Council (EPC) – Global Forum for Media Development (GFMD) – Global Network Initiative
(GNI) – Heartland Initiative – IFEX – Initiative für Netzfreiheit, Austria – IT-Pol, Denmark –
La Quadrature du Net, France – Ligue des droits humains, Belgium – Mailfence, Belgium –
Malta Information Technology Law Association (MITLA) – News Media Europe (NME) –
Nextcloud GmbH, Germany – Panoptykon Foundation, Poland – Politiscope, Croatia –
Privacy International – Proton, Switzerland – SHARE Foundation, Serbia – South East
Europe Media Organisation (SEEMO) – Statewatch, International – Tech Global Institute –
Tuta Mail, Germany – Wikimedia Foundation
Diesen offenen Brief im englischsprachigen Original finden Sie unter:
https://www.datenschutzverein.de/wpcontent/
uploads/2024/12/Open_Letter_on_HLG_Access_to_Data_for_Effective_Law_Enforc
ement_Recommendations.pdf
Die Themenseite von EDRi zum offenen Brief finden Sie hier:
https://edri.org/our-work/shedding-light-we-address-the-flawed-going-dark-report
1 Empfehlungen der High-Level Group on Access to Data for Effective Law Enforcement, https://homeaffairs.ec.europa.eu/document/download/1105a0ef-535c-44a7-a6d4-a8478fce1d29_en.
2 Empfehlungen 22, 23, 25, 26.
3 In der Rechtssache PODCHASOV gegen RUSSLAND entschied der EGMR, dass eine allgemeine Verpflichtung zur Schwächung der Verschlüsselung in einer demokratischen Gesellschaft unverhältnismäßig ist, nachdem er festgestellt hatte, dass Entschlüsselungsverpflichtungen „angeblich nicht auf bestimmte
Personen beschränkt werden können und jeden wahllos betreffen würden, auch Personen, die keine Bedrohung für ein legitimes staatliches Interesse darstellen“.
4 Empfehlungen 27 bis 32.
5 Empfehlung 27 ii.
6 Empfehlung 38.
7 So waren beispielsweise die in den TLS/SSL-Protokollen eingebauten Schwachstellen ein Jahrzehnt lang auf
Regierungswebsites zu finden, bevor sie 2015 behoben wurden:
https://blog.cryptographyengineering.com/2015/03/03/attack-of-week-freak-or-factoring-nsa/. Weitere
Beispiele sind der Hack der rechtmäßigen Abhöreinrichtungen von Vodafone in Griechenland, die sogenannte
„Athener Affäre“, die das Abhören von über 100 Politikern ermöglichte, was schwerwiegende Folgen für die
nationale Sicherheit hatte. Ein weiteres Beispiel aus jüngster Zeit ist der massive Cyberangriff, im
Breitbandnetze der Vereinigten Staaten, einschließlich AT&T und Verizon, über die Kanäle, die von der USRegierung
für gerichtlich genehmigte Abhörmaßnahmen in Breitbandnetzen genutzt werden:
https://www.wsj.com/tech/cybersecurity/u-s-wiretap-systems-targeted-in-china-linked-hack-327fc63b.
8 Empfehlungen 33 bis 36.