Privacy News

Gmail, Microsoft, Meta, LinkedIn: Sie scannen bereits Ihre Nachrichten - freiwillig!

Die freiwillige Chatkontrolle ist bereits seit 2021 in Kraft und heißt Verordnung (EU) 2021/1232. Ähnlich wie die Scanning-Verpflichtungen im Vereinigten Königreich und in den USA erlaubt diese Verordnung Big Tech, alle Ihre Daten zu scannen. Aber was scannen die Dienste auf der Grundlage dieser Verordnung, scannen sie auch alte Nachrichten, und was bedeutet das für den Datenschutz und die Privatsphäre? Lassen Sie uns eintauchen!

Gmail, Microsoft, Meta, LinkedIn: Sie scannen bereits Ihre Nachrichten - freiwillig!

Wussten Sie, dass jedes Mal, wenn Sie eine E-Mail über Gmail oder Outlook senden, auf Instagram posten oder auf Facebook Messenger oder LinkedIn chatten, Ihre Nachrichten gescannt werden? Das ist richtig: Während Chat Control als eines der schlimmsten Überwachungsgesetze heftig diskutiert wird, hat Big Tech im Stillen Scanning-Praktiken eingeführt, die bereits das tun, wogegen Datenschutzaktivisten im Chat Control-Gesetzgebungsverfahren kämpfen. Die Überwachung ist global, konstant und betrifft die meisten Menschen, ohne dass sie davon wissen.

Und wenn Sie glauben, dass dies für Sie keine Rolle spielt, weil Sie nichts zu verbergen haben, lesen Sie die Geschichte dieses Vaters, dem Google sein gesamtes Konto gelöscht hat, weil er ein Nacktfoto seines Sohnes an den Hausarzt geschickt hatte.

Da ich nun Ihre Aufmerksamkeit habe, sollten Sie prüfen, wer Ihre E-Mails und Nachrichten scannt und was Sie dagegen tun können!

Freiwillige Chatkontrolle: Verordnung (EU) 2021/1232

Seit mehr als drei Jahren diskutiert die Europäische Union über eine Verordnung zur Auffindung von Material über sexuellen Kindesmissbrauch (CSAM), die wegen ihrer immensen Überwachungsmöglichkeiten Chatkontrolle genannt wird. Und während es den Befürwortern des Datenschutzes gelungen ist, die Verpflichtung zum Aufbrechen der Ende-zu-Ende-Verschlüsselung aus dem aktuellen Vorschlag für die Chatkontrolle zu streichen, hat die EU bereits eine freiwillige Form der Chatkontrolle eingeführt, die von den großen US-Tech-Diensten intensiv genutzt wird: die Verordnung 2021/1232.

Gmail, Facebook, Instagram, WhatsApp, Microsoft, LinkedIn, Apple - sie alle scannen Ihre Daten auf der Grundlage dieser Verordnung, oft mit einem von Microsoft entwickelten Tool namens photoDNA. Big Tech scannt nur neu eingehende Nachrichten und E-Mails, alte Nachrichten werden nicht gescannt - diese wurden in der Vergangenheit bereits gescannt.

Die EU-Kommission hat Daten über die Scans von Big Tech angefordert, um zu beweisen, dass das Scannen verhältnismäßig ist. Doch die EU-Kommission konnte ihren Standpunkt nicht beweisen:

Bei der Verhältnismäßigkeit der Verordnung (EU) 2021/1232 geht es um die Frage, ob die Verordnung das angestrebte Gleichgewicht zwischen dem im Allgemeininteresse liegenden Ziel einer wirksamen Bekämpfung der in Rede stehenden besonders schweren Straftaten einerseits und der Notwendigkeit des Schutzes der Grundrechte von Kindern (z. B. Würde, Unversehrtheit, Verbot) andererseits herstellt. Würde, Unversehrtheit, Verbot unmenschlicher oder erniedrigender Behandlung, Privatleben, Rechte des Kindes usw.) einerseits und dem Schutz der Grundrechte der Nutzer der erfassten Dienste (z. B. Privatsphäre, Schutz personenbezogener Daten, Meinungsfreiheit, wirksamer Rechtsbehelf usw.) andererseits. Die verfügbaren Daten reichen nicht aus, um eine endgültige Antwort auf diese Frage zu geben.

Statt den Nachweis zu erbringen, dass die Verordnung verhältnismäßig ist - denn das massenhafte Scannen personenbezogener Daten ist ein schwerwiegender Eingriff in die Privatsphäre eines jeden Bürgers und darf nicht einfach mal so, “für alle Fälle” erlaubt werden - stellt die EU-Kommission einfach fest, dass das Scannen von Nachrichten nicht unverhältnismäßig und daher in Ordnung ist:

Es ist nicht möglich und wäre auch nicht angemessen, bei der Beurteilung der Verhältnismäßigkeit einen numerischen Maßstab in Bezug auf die Zahl der geretteten Kinder anzuwenden, da der sexuelle Missbrauch erhebliche negative Auswirkungen auf das Leben und die Rechte eines Kindes hat. In Anbetracht der obigen Ausführungen gibt es jedoch keine Anhaltspunkte dafür, dass die Ausnahmeregelung nicht verhältnismäßig ist.

Diese Umkehr der Beweislast wurde von Netzpolitik heftig kritisiert, ebenso wie von Patrick Breyer, ehemaliger EU-Parlamentarier und Jurist, der die Schlussfolgerung der EU-Kommission als “juristischen Unsinn” bezeichnet.

Aber schauen wir uns die Daten doch selbst an!

Schalte die Privatsphäre ein.

Big Tech scannt Milliarden von Datensätzen

Grafik: Microsoft hat im Jahr 2023 11,7 Milliarden Datensätze gescannt und dabei weniger als 0,001 % als CSAM gekennzeichnet. Grafik: Microsoft hat im Jahr 2023 11,7 Milliarden Datensätze gescannt und dabei weniger als 0,001 % als CSAM gekennzeichnet. Grafik: Microsoft hat im Jahr 2023 11,7 Milliarden Datensätze gescannt und dabei weniger als 0,001 % als CSAM gekennzeichnet.

Nur zwei Dienstanbieter haben der EU-Kommission konkrete Zahlen zum Umfang der freiwilligen CSAM-Scans gemeldet: Microsoft und LinkedIn.

  • Microsoft hat im Jahr 2023 weltweit mehr als 11,7 Milliarden Bilder und Videos gescannt und im Jahr 2024 knapp 10 Milliarden. Sie haben keine Zahlen nur für die EU vorgelegt.

  • Im Jahr 2023 markierte Microsoft 32.000 Datensätze als potenzielles Material über sexuellen Kindesmissbrauch, darunter über 9.000 Datensätze in der EU. Dies entspricht 0,0002735 % oder 1 Treffer pro 365.000 Scans.

  • Im Jahr 2024 kennzeichnete Microsoft 26.000 Datensätze als potenzielles Material über sexuellen Kindesmissbrauch, darunter über 5.800 Datensätze in der EU. Dies entspricht 0,00027083 % bzw. 1 Treffer pro 369.000 Scans.

  • Der Umfang von LinkedIn war weitaus geringer, aber alle Scans betrafen europäische Inhalte.

  • Im Jahr 2023 wurden über 24 Millionen Bilder und über 1 Million Videos gescannt, wobei 2 Bilder und kein Video als potenzielles Material zum sexuellen Missbrauch von Kindern gekennzeichnet wurden. Dies entspricht 0,00000833 % bzw. 1 Treffer pro 12 Millionen Scans.

  • Im Jahr 2024 wurden über 22 Millionen Bilder und über 2 Millionen Videos gescannt, wobei 1 Bild und kein Video als potenzielles Material über sexuellen Kindesmissbrauch gekennzeichnet wurde. Dies entspricht 0,00000417 % bzw. 1 Treffer pro 24 Millionen Scans.

In beiden Fällen führte die Massenprüfung nur zu minimalen Ergebnissen, dennoch bezeichnet die EU-Kommission die Maßnahme der freiwilligen Chatkontrolle als verhältnismäßig.

Google hat nicht bekannt gegeben, wie viele Inhalte gescannt wurden, sondern nur die Ergebnisse mitgeteilt. Aber angesichts der Tatsache, dass Google einer der größten Online-Dienste ist, dürften die Zahlen in die Millionen gehen. In den Jahren 2023 und 2024 markierte Google 1.558 bzw. 1.824 Datensätze. Angesichts der Größe von Google sind die Scan-Volumina wahrscheinlich mit denen von Microsoft vergleichbar, was bedeutet, dass die Ergebnisse ebenfalls weit unter dem Promillebereich liegen.

Meta mit Diensten wie Facebook, Instagram und WhatsApp hebt sich mit deutlich höheren Zahlen deutlich ab. In den Jahren 2023 und 2024 hat der Tech-Gigant aus dem Silicon Valley 3,6 Millionen und 1,5 Millionen Bilder und Videos als potenzielle CSAM in der EU markiert.

Ein ähnliches Muster zeigt sich bei der Betrachtung der Nutzerberichte: Bei Google meldeten 297 (2023) und 216 (2024) Nutzer illegales Material. Bei Meta meldeten 254.500 (2023) und 76.900 (2024) Nutzer illegales Material. In dem Bericht der Kommission wird nicht erklärt, warum diese Zahlen so massiv voneinander abweichen.

Bei kritischer Betrachtung belegen diese Zahlen keineswegs, dass das massenhafte Scannen aller Nachrichten verhältnismäßig ist. Und der anstehende Entwurf zur Chatkontrolle, der demnächst im Trilog diskutiert wird, könnte ein noch umfassenderes Scannen ermöglichen - zwar immer noch freiwillig, aber mit erheblichen Folgen für die Privatsphäre.

Schalte die Privatsphäre ein.

Das Gute und das Schlechte

Das Gute am aktuellen Chatkontrolle-Vorschlag ist, dass das Scannen von E-Mails und Chat-Nachrichten freiwillig bleibt. Der Vorschlag wird Anbieter von Ende-zu-Ende-verschlüsselten E-Mails wie Tuta Mail nicht dazu zwingen, die Verschlüsselung zu umgehen. Bei Tuta werden Ihre Daten also sicher bleiben. Wir bei Tuta sind hier, um für Ihr Recht auf Privatsphäre zu kämpfen; als die Chat Control-Debatte 2024 auf ihrem Höhepunkt war, haben wir sogar gedroht, die EU zu verklagen, weil sie das Recht aller auf Privatsphäre verraten würde, was jetzt nicht mehr nötig ist.

Die freiwillige Chatkontrolle ist jedoch in ihrem Kern nicht nur grundsätzlich schlecht, sondern auch falsch: Ohne nachzuweisen, dass die Maßnahme verhältnismäßig ist, um Kinder zu schützen, opfert die EU-Kommission das Privatleben aller, indem sie Big Tech einen immensen Eingriff in die Privatsphäre aller ermöglicht - und Big Tech lässt sich nicht zweimal bitten.

So scannen Gmail, Microsoft, LinkedIn, Meta munter Ihre Daten, ohne ein Problem damit zu haben. So können sie Ihre Daten nicht nur nach CSAM durchsuchen, sondern möglicherweise auch nach allem anderen, was sie wollen; sie kennen Sie in- und auswendig, wie ein Google-CEO einmal sagte, und können ein Profil über Sie erstellen, um gezielte Werbung zu schalten.

Wechsel zu Privatsphäre

Doch Sie haben die Wahl: Es gibt Dienste, die kostenlose, sichere E-Mail-, Chat- und Social-Media-Lösungen ohne Tracking oder Profilerstellung anbieten.

Hier sind einige großartige Big-Tech-Alternativen aus Europa, die sich auf den Datenschutz konzentrieren.

Und hier finden Sie alle Apps, die Sie benötigen, wenn Sie nie wieder Googles Monopol füttern wollen.

Sagen Sie “Nein” zu Big Tech und dem Sammeln von Daten. Sagen Sie “Hallo” zu Privatsphäre!

Illustration eines Telefons mit Tuta-Logo auf dem Bildschirm, daneben ein vergrößertes Schild mit einem Häkchen, das die hohe Sicherheit der Tuta-Verschlüsselung symbolisiert.