Offener Brief mit Aufforderung an die EU-Mitgliedstaaten, die Verschlüsselung zu verteidigen

Kurz vor Beginn des Trilogs müssen sich die EU-Mitgliedstaaten entscheiden, auf welcher Seite sie stehen: Privatsphäre oder Überwachung.

Die Verschlüsselung in der EU muss verteidigt werden, um die Privatsphäre von Menschen und Unternehmen gleichermaßen zu schützen.

Neues Jahr, alte Diskussion: In diesem Jahr wird die EU die Trilog-Diskussion über die Verordnung der EU-Kommission zum sexuellen Kindesmissbrauch (CSAR) beginnen, die vorschlägt, jede Nachricht von EU-Bürgern auf Missbrauchsmaterial zu scannen. Bereits im vergangenen Jahr hat sich das EU-Parlament gegen ein solches clientseitiges Scanning positioniert - ein großer Erfolg für Datenschützer in Europa. Jetzt ist es an der Zeit, dass sich die EU-Mitgliedstaaten in diesem Kampf zwischen Privatsphäre und Überwachung positionieren. Wir, eine Koalition von datenschutzfreundlichen Unternehmen aus Europa, rufen unsere Minister auf, das Recht der Bürger auf Privatsphäre zu wahren und eine starke Verschlüsselung zu verteidigen.


Im vergangenen Jahr haben wir mit großer Freude die historische Entscheidung des EU-Parlaments gegen die Überwachung von Chats zur Kenntnis genommen. Wir freuen uns über diese großartige Entscheidung des EU-Parlaments, das Recht der Menschen auf Privatsphäre zu verteidigen und eine starke Verschlüsselung in Europa aufrechtzuerhalten. Mit seiner Entscheidung folgte das EU-Parlament dem Rat von 300 Wissenschaftlern und Kryptographie-Experten sowie dem Forschungsdienst des Europäischen Parlaments (EPRS), die Chatkontrolle wegen seiner weitreichenden Überwachungsbefugnisse heftig kritisierten, da sie das Recht auf Privatsphäre im Internet zerstören, die Meinungsfreiheit beeinträchtigen und damit unsere demokratischen Werte untergraben würde.

Während die Welt mit mehr Überwachungstendenzen denn je konfrontiert ist - wie man an dem Online Safety Bill in Großbritannien, der australischen Überwachungsgesetzgebung und der FISA-Reform in den USA sehen kann - hat die Europäische Union jetzt die einmalige Chance, zum Hoffnungsträger für freie Meinungsäußerung und Demokratie zu werden.

Mit der Allgemeinen Datenschutzgrundverordnung (DSGVO) hat die EU einen sehr hohen Standard für Datenschutz und Privatsphäre in der EU gesetzt. Jetzt ist es wichtig, dieses hohe Niveau des Datenschutzes aufrechtzuerhalten, indem wir uns für eine starke Verschlüsselung einsetzen, damit EU-Bürger und -Unternehmen weiterhin Online-Datenschutz und Vertraulichkeit auf höchstem Niveau genießen können.

Offener Brief an die EU-Mitgliedstaaten zur vorgeschlagenen CSA-Verordnung

Sehr geehrte Innen-, Justiz- und Wirtschaftsminister der EU-Mitgliedstaaten,

wir schreiben Ihnen als kleine und mittlere Unternehmen und Organisationen aus Europa, die über den Vorschlag für eine Verordnung zum sexuellen Kindesmissbrauch (CSA) besorgt sind. Gemeinsam fordern wir Sie auf, dafür zu sorgen, dass die Position Ihres Landes in dieser Angelegenheit so nah wie möglich an die des Europäischen Parlaments (EP) herangeführt wird. Wir sind uns alle einig, dass die Gewährleistung der Sicherheit von Kindern im Internet eine der wichtigsten Pflichten von Technologieunternehmen ist, und aus diesem Grund finden wir die von der Europäischen Kommission vorgeschlagene Verordnung äußerst beunruhigend. Wenn sie in der vorgeschlagenen Form umgesetzt wird, würde sie sich negativ auf die Privatsphäre und die Sicherheit von Kindern im Internet auswirken und gleichzeitig dramatische, unvorhersehbare Folgen für die Cybersicherheitslandschaft in der EU haben, ganz abgesehen davon, dass sie einen ineffektiven Verwaltungsaufwand verursachen würde. Das Europäische Parlament hat vor kurzem seinen Standpunkt zu dem Dossier angenommen und eingeräumt, dass Scantechnologien nicht mit dem Ziel einer vertraulichen und sicheren Kommunikation vereinbar sind. Die entscheidenden Änderungen, die es daher für den Vorschlag vorschlägt, spiegeln die Meinung des Europäischen Datenschutzbeauftragten (EDSB), der juristischen Dienste des Rates sowie zahlreicher Experten für Kryptographie und Cybersicherheit wider. Er spiegelt auch die Meinung von zwischen 63% und 69% der Unternehmen, Behörden, NROs und Bürger wider, die von der Europäischen Kommission in ihrer Folgenabschätzung konsultiert wurden. Als kleine und mittlere Technologieunternehmen und -organisationen teilen wir ihre Bedenken, da wir wissen, dass die Suche nach bestimmten Inhalten - wie Text, Fotos und Videos - in einer Ende-zu-Ende-verschlüsselten Kommunikation die Implementierung einer Hintertür oder einer ähnlichen Technologie, dem so genannten “Client-side scanning”, erfordern würde. Selbst wenn dieser Mechanismus zur Bekämpfung der Online-Kriminalität geschaffen wird, würde er schnell auch von Kriminellen selbst genutzt werden und Bürger und Unternehmen online einem größeren Risiko aussetzen, da er für alle Nutzer gleichermaßen Schwachstellen schafft.

Datenschutz ist ein starker Wettbewerbsvorteil

Als in der Europäischen Union tätige Technologieunternehmen haben wir Produkte und Dienstleistungen im Einklang mit dem strengen Datenschutzrahmen der EU entwickelt, der nach wie vor weltweit als Vorbild und Inspiration dient. Die Datenschutz-Grundverordnung ermöglichte die Gründung ethischer, datenschutzfreundlicher Technologieunternehmen in Europa, die andernfalls nie in der Lage gewesen wären, mit Big Tech zu konkurrieren. Sie verschaffte europäischen Unternehmen einen starken internationalen Wettbewerbsvorteil in diesem Bereich und ermöglichte es den Verbrauchern, endlich Alternativen zu amerikanischen und chinesischen Diensten zu finden. Unsere Nutzer innerhalb und außerhalb der EU haben Vertrauen in unser Engagement für den Schutz ihrer Daten gewonnen, und dieses Vertrauen ist ein wichtiger Faktor für unsere Wettbewerbsfähigkeit. Die Lernkurve für die Anpassung an den notwendigen Verwaltungsaufwand, den die DSGVO mit sich bringt, war hoch, aber sie war es wert. Die CSA-Verordnung könnte jedoch dieses Alleinstellungsmerkmal europäischer IT-Unternehmen bedrohen und würde zudem einen neuen Verwaltungsaufwand mit sich bringen, von dem wir befürchten, dass er sowohl unsere Unternehmen als auch die Strafverfolgungsbehörden überfordern könnte. In Anbetracht des Volumens der Kommunikation und der Inhalte, die durch unsere Dienste fließen, würde selbst eine unbedeutende Fehlerquote der Technologien, die zur Überprüfung auf missbräuchliches Material eingesetzt werden, zu Millionen von Falschmeldungen führen, die jeden Tag manuell überprüft werden müssten.

Die CSA-Verordnung könnte das Vertrauen und die Sicherheit im Internet untergraben

In einer Welt, in der Datenschutzverletzungen und -skandale immer häufiger vorkommen, ist der Ruf der EU für strengen Datenschutz ein Alleinstellungsmerkmal für Unternehmen, die innerhalb ihrer Grenzen tätig sind. Er verschafft uns einen Wettbewerbsvorteil, denn er gibt unseren Kunden die Gewissheit, dass ihre Daten mit äußerster Sorgfalt und Integrität behandelt werden. Wenn dieses Vertrauen einmal untergraben ist, lässt es sich nur schwer wiederherstellen, und jede Maßnahme, die es gefährdet, wie z. B. das obligatorische Scannen oder die obligatorische Altersüberprüfung, kann großen und kleinen Unternehmen schaden. Darüber hinaus hat die EU vor kurzem die Verordnung 2023/2841 erlassen, die den EU-Organen und -Einrichtungen vorschreibt, bei ihren Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit die Verwendung von Ende-zu-Ende-Verschlüsselung zu berücksichtigen. Außerdem liegen derzeit mehrere “Cyber”-Vorschläge der EU auf dem Tisch, wie der Cyber Resilience Act und der Cybersecurity Act. Die Unterstützung eines gegenteiligen Ansatzes für die CSA-Verordnung würde den EU-Rahmen für Cybersicherheit nur untergraben und ein widersprüchliches, inkohärentes und ineffizientes neues Maßnahmenbündel schaffen, das Unternehmen nicht durchsetzen könnten, ohne Bürger und Unternehmen zu gefährden.

Der Vorschlag des EU-Parlaments geht in die richtige Richtung

Wir begrüßen daher das Europäische Parlament für seine entschlossene Haltung bei der Verteidigung des Rechts der europäischen Bürger auf Privatsphäre und sichere Kommunikation. Das Bekenntnis des Europäischen Parlaments zu diesen Grundsätzen ist nicht nur ein Beweis für sein Engagement für die Menschenrechte, sondern auch ein Hoffnungsschimmer für Unternehmen wie das unsere, denen Datenschutz und Sicherheit am Herzen liegen. Die Position des Parlaments beinhaltet Alternativen zum Scannen, die minimale Auswirkungen auf die Cybersicherheit und den Datenschutz haben und die nach Ansicht von Experten sowohl effektiver als auch effizienter wären als das obligatorische Scannen. Ein solcher Paradigmenwechsel würde bedeuten, die falsche Dichotomie zwischen Privatsphäre und Sicherheit zu überwinden und gleichzeitig dafür zu sorgen, dass der Vorschlag den Grundsatz der Verhältnismäßigkeit beachtet, wie vom Ausschuss für Regulierungskontrolle gefordert. Auch wenn die Änderungen, die das Europäische Parlament in seinem Standpunkt vorgenommen hat, in unseren Augen nicht perfekt sind, so stellen sie doch einen guten Kompromiss dar, um die digitale Sicherheit und Vertraulichkeit zu wahren und Kinder im Internet besser zu schützen. Wir glauben, dass diese Änderungen das richtige Gleichgewicht zwischen dem Schutz von Kindern und der Wahrung der Privatsphäre und der Cybersicherheit herstellen.

Als Vertreter der dynamischen europäischen Kleinunternehmen ermutigen wir die EU-Mitgliedstaaten, sich weiterhin für die Werte der Privatsphäre, der Cybersicherheit und des Datenschutzes einzusetzen. Diese Grundsätze stehen nicht nur im Einklang mit dem Engagement der EU für die Menschenrechte, sondern dienen auch als Grundlage für ein florierendes und wettbewerbsfähiges Geschäftsumfeld. Lassen Sie uns diese Grundsätze verteidigen und stärken und dafür sorgen, dass die EU auf dem globalen Markt ein Verfechter des Datenschutzes bleibt.

Aus diesen Gründen appellieren wir an Sie:

  • Sorgen Sie dafür, dass der Standpunkt des Rates so weit wie möglich an den des Europäischen Parlaments angeglichen wird. Dies wird eine schnellere Verabschiedung der Verordnung ermöglichen und gleichzeitig auf der wichtigen Arbeit des Europäischen Parlaments aufbauen.

  • Beibehaltung des hohen Niveaus der Grundrechte - und insbesondere des Datenschutzes -, das die Bürger in der Europäischen Union genießen.

  • Unternehmen wie uns nicht zu zwingen, im Auftrag von Strafverfolgungsbehörden eine Massenüberwachung privater Korrespondenz durchzuführen.

  • Gewährleistung eines hohen Niveaus an Cybersicherheit in der EU durch den Schutz der Ende-zu-Ende-Verschlüsselung und die Aufnahme der notwendigen Schutzmaßnahmen in den Text. Insbesondere Client-seitiges Scannen und Hintertüren sollten nicht vorgeschrieben werden.

  • Wahrung des Briefgeheimnisses.

  • Minimierung des Verwaltungsaufwands des Vorschlags durch effektivere und effizientere Alternativen zum Massenscanning.

Unterzeichnet:

Blacknight Solutions

Cyberstorm

Element

Tor 15

Mailfence

Mail.de GmbH

Olvid

Eine Privatsphäre

Parsec

Proton

Seezam

Surfshark

TelemetrieDeck

Threema

Tresorit

Tuta

Wirtschaftsverbände und Unterstützer:

ACT | The App Association

Demokratie verteidigen

Verschlüsselung Europa

ISOC-CAT

Privacy & Access Council von Kanada

STUDIO LEGALE FABIANO

The Tor Project