Verschlüsselung ist nicht verhandelbar: Offener Brief an die EU, die Privatsphäre nicht zu untergraben.
Verschlüsselung schützt uns alle. Wir bei Tuta würden lieber die EU verlassen, als Forderungen nachzugeben, die Verschlüsselung untergraben.
Heute hat eine Koalition aus 55 Verbänden, Medien, Menschenrechtsorganisationen, Gewerkschaften und Technologieunternehmen ein gemeinsames Schreiben veröffentlicht, in dem die EU-Minister aufgefordert werden, eine Agenda für digitale Sicherheit zu verabschieden, die die Grundrechte fördert und ein sicheres digitales Ökosystem unterstützt. In dem Schreiben werden Bedenken gegen die Empfehlungen der High-Level Group (HLG) zur Ausweitung des Zugriffs der Strafverfolgungsbehörden auf personenbezogene Daten geäußert, da sie befürchten, dass diese zu einer Massenüberwachung führen und die Privatsphäre untergraben könnten.
Matthias Pfau, CEO von Tuta, warnt, dass die EU, wenn sie diesen Weg weiterverfolgt, Gefahr läuft, innovative, auf den Schutz der Privatsphäre ausgerichtete Unternehmen und das Vertrauen ihrer Bürger zu verlieren:
“Wenn die EU diesen Weg der Untergrabung der Verschlüsselung weitergeht, wird es für Unternehmen wie Tuta Mail unmöglich, innerhalb ihrer Grenzen zu operieren. Wir bei Tuta kämpfen für das Recht aller auf Privatsphäre durch Verschlüsselung, und das werden wir auch weiterhin tun! Wenn die EU versucht, uns zu stoppen, würden wir lieber umziehen, als unsere quantensichere Verschlüsselung zu untergraben. Die EU riskiert den Verlust innovativer, datenschutzorientierter Unternehmen - und damit das Vertrauen ihrer Bürger”, sagt Matthias Pfau, CEO von Tuta Mail.
Eine Schwächung der Verschlüsselung stellt ein ernsthaftes Risiko für die digitale Sicherheit dar, wie die jüngsten Cyberangriffe auf US-Telekommunikationsanbieter durch vom chinesischen Staat unterstützte Hacker gezeigt haben. Diese jüngste Sicherheitslücke in den USA zeigt, wie wichtig eine robuste Verschlüsselung ist. Die EU muss ihren Ansatz überdenken, denn die Schwächung der Verschlüsselung ist nicht nur eine politische Entscheidung, sondern eine Bedrohung für die Sicherheit aller. Verschlüsselung ist die Grundlage einer sicheren und vertrauenswürdigen digitalen Kommunikation. Die Schwächung dieser Grundlage öffnet böswilligen Akteuren Tür und Tor und bedroht die Sicherheit von Bürgern, Unternehmen und Regierungen.
Während US-Beamte - nach dem Angriff Chinas auf die digitale Infrastruktur in den USA - zunehmend die Verwendung von Ende-zu-Ende-verschlüsselten Kommunikationswerkzeugen empfehlen, bewegt sich die EU in die entgegengesetzte Richtung, indem sie über Maßnahmen diskutiert, die die Verschlüsselung schwächen und jedem die digitale Privatsphäre verweigern würden. Eine starke Verschlüsselung ist für den Schutz vor verschiedenen Online-Bedrohungen unerlässlich, und die EU muss solider Sicherheit und dem Schutz der Privatsphäre Vorrang vor Maßnahmen einräumen, die systemische Schwachstellen schaffen.
Hintertüren zur Verschlüsselung sind niemals eine Option - denn böswillige Akteure werden sie missbrauchen.
Die wichtigsten Punkte des offenen Briefes
-
Achtung der Grundrechte: Der Brief wendet sich gegen Maßnahmen wie “Lawful Access by Design”, die zu einer Schwächung von Verschlüsselungs- und digitalen Sicherheitssystemen führen und persönliche Daten und Kommunikation gefährden könnten. Es wird betont, dass das Recht auf Privatsphäre gewahrt werden muss und die Verschlüsselung, die für die Sicherheit und Freiheit des Einzelnen von entscheidender Bedeutung ist, nicht ausgehöhlt werden darf.
-
Privatsphäre und Berufsgeheimnis: In dem Schreiben wird hervorgehoben, dass Maßnahmen, die einen uneingeschränkten Zugang der Strafverfolgungsbehörden ermöglichen, die Vertraulichkeit der Kommunikation gefährden könnten, einschließlich derjenigen, die durch das Berufsgeheimnis geschützt ist, wie etwa zwischen Ärzten und Patienten, Journalisten und Quellen sowie Anwälten und Mandanten. Dieser Schutz ist für die Wahrung anderer Grundrechte wie der Rede- und Meinungsfreiheit unerlässlich.
-
Sicherheit des digitalen Ökosystems: In dem Schreiben wird davor gewarnt, dass der Vorschlag der HLG den soliden EU-Rahmen für digitale Sicherheit wie die Datenschutz-Grundverordnung untergraben könnte, was zu einem geschwächten digitalen Ökosystem führen würde. Es wird davor gewarnt, Diensteanbieter zu verpflichten, unnötige Daten zu sammeln oder das Abhören zu ermöglichen, da dies die Sicherheitssysteme beeinträchtigen und Schwachstellen schaffen würde. Es wird befürchtet, dass die Einführung von Hintertüren für die Strafverfolgung die Systeme der Ausnutzung durch böswillige Akteure aussetzen würde.
-
Auswirkungen auf EU-Unternehmen: In dem Schreiben wird darauf hingewiesen, dass strenge Durchsetzungsmaßnahmen und Sanktionen kleinen, sicheren Diensteanbietern schaden und sie möglicherweise aus dem Markt drängen könnten. Dies würde sich negativ auf die Ambitionen der EU im Bereich der Cybersicherheit und auf die Fähigkeit auswirken, sichere Dienste anzubieten.
Lesen Sie den vollständigen Brief, um zu verstehen, wie die politischen Entscheidungsträger die Erfordernisse der Strafverfolgung mit dem Schutz der Grundrechte in Einklang bringen müssen, um die Sicherheitsziele zu erreichen, ohne die Privatsphäre aller zu gefährden.
Offener Brief
Gemeinsamer Brief mit der Forderung, dass die EU-Agenda für digitale Sicherheit die Grundrechte fördert und ein sicheres digitales Ökosystem unterstützt
Sehr geehrte Ministerinnen und Minister,
wir, die unterzeichnenden Verbände, Medien- und Menschenrechtsorganisationen, Gewerkschaften und Technologieunternehmen, schreiben Ihnen, um die Notwendigkeit einer EU-Agenda für digitale Sicherheit zu unterstreichen, die sowohl Gerechtigkeit, Rechenschaftspflicht und die Achtung der Grundrechte gewährleistet als auch die Entwicklung eines sicheren digitalen Ökosystems unterstützt.
In diesem Zusammenhang möchten wir unsere Bedenken hinsichtlich der Empfehlungen und des Berichts der High Level Group (HLG) über den Zugang zu Daten für eine wirksame Strafverfolgung mitteilen. Angesichts des übergeordneten Ziels der HLG, den Strafverfolgungsbehörden den größtmöglichen Zugang zu personenbezogenen Daten zu gewähren, sehen wir erhebliche Risiken einer Massenüberwachung sowie erhebliche Gefahren für die Sicherheit und den Schutz der Privatsphäre, wenn diese Empfehlungen als Grundlage für künftige politische Maßnahmen und Rechtsvorschriften der EU herangezogen würden. Wir bitten Sie daher dringend, die folgenden Empfehlungen bei der Festlegung der EU-Prioritäten in diesem Politikbereich zu berücksichtigen.
Achtung der Grundrechte und Gewährleistung der Sicherheit und Vertraulichkeit des digitalen Raums
Wir möchten davor warnen, den Strafverfolgungsbehörden uneingeschränkte Befugnisse einzuräumen, die zu einer Massenüberwachung führen und Grundrechte verletzen könnten.
Insbesondere sind wir äußerst besorgt über das von der High Level Group unterstützte Konzept des “Lawful Access by Design”, das darauf abzielt, den Zugang der Strafverfolgungsbehörden zu Daten in die Entwicklung aller Technologien einzubeziehen. In der Praxis würde dies die systematische Schwächung aller digitalen Sicherheitssysteme erfordern, einschließlich, aber nicht beschränkt auf die Verschlüsselung. Dies würde die Sicherheit und Vertraulichkeit elektronischer Daten und Kommunikationen untergraben, die Sicherheit aller Menschen gefährden und die Grundrechte der Menschen stark einschränken. Dieses Konzept steht im Widerspruch zu den seit langem bestehenden Empfehlungen von Menschenrechtsorganisationen, Datenschutz- und Cybersicherheitsexperten sowie der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR).
Wir empfehlen daher, jede Maßnahme abzulehnen, die den Schutz der Verschlüsselung umgeht oder schwächt, da dies die Sicherheit und den Schutz der Privatsphäre von Millionen von Menschen und öffentlichen Einrichtungen gefährdet und unweigerlich das gesamte digitale Informationsökosystem schädigt.
Darüber hinaus möchten wir daran erinnern, dass jede künftige EU-weit harmonisierte Regelung zur Vorratsdatenspeicherung und zum Datenzugriff die im EU-Recht und in der ständigen Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) und des Europäischen Gerichtshofs für Menschenrechte (EGMR) zum Schutz der Grundrechte vor Massenüberwachung verankerten rechtlichen Anforderungen der Notwendigkeit und Verhältnismäßigkeit beachten muss. In dieser Hinsicht ist die vorgeschlagene Ausweitung der Verpflichtung zur Vorratsdatenspeicherung auf praktisch alle Dienste der Informationsgesellschaft, einschließlich des Internets der Dinge und internetbasierter Dienste, besonders bedenklich, da sie die ungezielte und wahllose Speicherung personenbezogener Daten erfordern würde. Diese umfassende und allgemeine Überwachung würde in den Köpfen der Menschen den Eindruck erwecken, dass ihr Privatleben ständig überwacht wird, und kann nicht als mit den oben genannten Anforderungen vereinbar angesehen werden.
Wahrung des Rechts auf Privatsphäre und Unverletzlichkeit geschützter Informationen
Auch wenn das Recht auf Privatsphäre und Vertraulichkeit der Kommunikation nicht absolut ist, muss jeder Eingriff in die Grundrechte mit den Grundsätzen der Rechtmäßigkeit, der strikten Notwendigkeit und der Verhältnismäßigkeit im Einklang stehen. Eine allgemeine und unterschiedslose Vorratsspeicherung personenbezogener Daten, die die Erstellung detaillierter Profile des Einzelnen ermöglicht, sowie Maßnahmen, die die Sicherheit der gesamten privaten Kommunikation untergraben, entsprechen nicht diesen Grundsätzen.
Diese allgemeinen und unterschiedslosen Maßnahmen betreffen auch Personen, deren Kommunikation dem Berufsgeheimnis unterliegt, wie Ärzte und ihre Patienten, Journalisten und ihre Quellen, Rechtsanwälte und Sozialarbeiter und ihre Klienten. Der für diese Kommunikation gewährte Rechtsschutz ist eine unabdingbare Voraussetzung für die wirksame Ausübung anderer Grundrechte, einschließlich des Rechts auf ein faires Verfahren und auf Verteidigung, der Freiheit der Meinungsäußerung und der Informationsfreiheit, einschließlich der Medien- und Pressefreiheit, der Gedanken- und Religionsfreiheit, der Versammlungs- und Vereinigungsfreiheit sowie des Rechts auf soziale Unterstützung und Gesundheitsfürsorge durch die Bürger.
Wir sind besorgt, dass die geplanten weitreichenden Befugnisse der Strafverfolgungsbehörden zum Zugriff auf Daten die Vertraulichkeit geschützter Kommunikation und damit verbundene Grundrechte beeinträchtigen würden. Es besteht die Gefahr, dass diese Maßnahmen missbraucht werden, um Journalisten, Menschenrechtsverteidiger, Anwälte, Aktivisten und politische Dissidenten zu verfolgen. Entscheidend ist, dass die EU die Unverletzlichkeit von Daten und anderen Beweismitteln garantiert, die unter den Grundsatz des anwaltlichen Berufsgeheimnisses fallen.
Unterstützung eines sicheren, vertrauenswürdigen und diversifizierten digitalen Ökosystems
Verantwortungsbewusste Gerätehersteller und Diensteanbieter haben erhebliche Ressourcen in die Verbesserung der Sicherheit ihrer Geräte und der Zuverlässigkeit ihrer Dienste investiert. Diese Innovationen erfüllen nicht nur die Anforderungen der zunehmend datenschutzbewussten Nutzer, sondern auch die der Regulierungsbehörden, die für die Durchsetzung hoher Standards in den Bereichen Cybersicherheit und Datenschutz zuständig sind. Die EU verfügt über einen einzigartigen Vorteil dank eines Datenschutzrahmens, der einen hohen rechtlichen Standard für den Schutz der Grundrechte und -freiheiten der Menschen in einer Welt setzt, in der die Privatsphäre ständig angegriffen wird.
Leider könnte die Vision der HLG die Fähigkeit der Europäer untergraben, in Zukunft vertrauenswürdige digitale Werkzeuge zu wählen. Sie empfiehlt, den Betreibern umfangreiche und manchmal widersprüchliche Verpflichtungen aufzuerlegen. Dazu gehört, dass sie gezwungen werden, mehr Nutzerdaten zu sammeln und zu speichern, als für die Bereitstellung ihrer Dienste erforderlich sind, das Abfangen von Daten in Echtzeit zu ermöglichen und entschlüsselte Daten an Strafverfolgungsbehörden weiterzugeben, ohne dabei die Sicherheit ihrer Systeme zu gefährden. Trotz der Absicht der HLG, die digitale Sicherheit nicht zu untergraben, gibt es in Wirklichkeit keine technische Möglichkeit, das Versprechen der Ende-zu-Ende-Verschlüsselung zu brechen, ohne die Sicherheit der Kommunikationssysteme zu schwächen. Eine Hintertür - oder ein anderer Umgehungsmechanismus - der für die Strafverfolgung gedacht ist, kann immer von anderen Akteuren ausgenutzt werden, wie zahlreiche Beispiele gezeigt haben.
Schließlich skizziert die HLG auch einen besorgniserregenden Durchsetzungsrahmen, einschließlich harter Sanktionen zur Abschreckung und Bestrafung der Nichteinhaltung von EU-Verpflichtungen und Strafverfolgungsanordnungen (Verwaltungssanktionen, Handelsverbot, Haftstrafen). Wir sehen hier die Gefahr, dass zuverlässige Anbieter sicherer Dienste entweder vom EU-Markt verdrängt werden oder ihre Tätigkeit einstellen müssen, wenn sie klein oder gemeinnützig sind, oder dass sie an der Entwicklung sicherer Lösungen gehindert werden, wenn sie in der EU niedergelassen sind. Dies wäre natürlich für die Initiativen und Ambitionen der EU im Bereich der Cybersicherheit äußerst nachteilig.
Wir sind uns darüber im Klaren, dass die den Strafverfolgungsbehörden zur Verfügung stehenden Ermittlungsmaßnahmen dem digitalen Zeitalter angemessen sein und den einzigartigen Herausforderungen, die grenzüberschreitende Online-Dienste mit sich bringen, wirksam begegnen müssen. Effizienz sollte jedoch nicht auf Kosten einer Schwächung der Grundrechte, des Rechtsschutzes und der europäischen Wirtschaft erreicht werden. Wir sind davon überzeugt, dass diese Ziele von allgemeinem Interesse mit weniger einschneidenden Maßnahmen erreicht werden können als mit einer Massenüberwachung und einer systematischen Schwächung der wesentlichen Sicherheitsgarantien.
Wir danken Ihnen im Voraus für Ihre Aufmerksamkeit und stehen Ihnen für Rückfragen gerne zur Verfügung.
Mit freundlichen Grüßen,
Access Now
ARTICLE 19, International
Association of European Journalists, Belgium (AEJ Belgium)
Bits of Freedom, Netherlands
Bolo Bhi, Pakistan
Centre for Democracy and Technology Europe (CDT Europe)
Chaos Computer Club (CCC), Germany
Civil Liberties Union for Europe (Liberties)
Committee to Protect Journalists (CPJ)
Community Media Forum Europe (CMFE)
Council of Bars and Law Societies of Europe (CCBE)
Cryptee, Estonia
D3 – Defesa dos DIreitos Digitais, Portugal
Danes je nov dan, Slovenia
Datenpunks, Germany
Deutsche Vereinigung für Datenschutz e.V. (DVD), Germany
Deutscher Anwaltverein (German Bar Association)
Digital Rights Ireland
Digitale Gesellschaft, Germany
Digitale Gesellschaft, Switzerland
eco – Verband der Internetwirtschaft e.V.
Electronic Frontier Foundation (EFF), International
Electronic Privacy Information Center (EPIC), United States of America
Element
Epicenter.works – for digital rights, Austria
Eurocadres
EuroISPA – The European Association of Internet Services Providers
European Broadcasting Union (EBU)
European Digital Rights (EDRi)
European Federation of Journalists (EFJ)
European Magazine Media Association (EMMA)
European Newspaper Publishers’ Association (ENPA)
European Publishers Council (EPC)
Global Forum for Media Development (GFMD)
Global Network Initiative (GNI)
Heartland Initiative
IFEX
Initiative für Netzfreiheit, Austria
IT-Pol, Denmark
La Quadrature du Net, France
Ligue des droits humains, Belgium
Mailfence, Belgium
Malta Information Technology Law Association (MITLA)
News Media Europe (NME)
Nextcloud GmbH, Germany
Panoptykon Foundation, Poland
Politiscope, Croatia
Privacy International
Proton, Switzerland
SHARE Foundation, Serbia
South East Europe Media Organisation (SEEMO)
Statewatch, International
Tech Global Institute
Tuta Mail, Germany
Wikimedia Foundation