Wie wir im September schon geschrieben haben, ist die Einführung einer Chatkontrolle in der EU nach wie vor ein Thema, auch wenn es zwischenzeitlich mangels befürwortender Mehrheit wieder von der Traktandenliste genommen wurde. Der nächste Anlauf kommt spätestens mit der nächsten EU-Ratspräsidentschaft. Die damalige GLP-Nationalrätin Judith Bellaiche hat den Bundesrat bereits vor zwei Jahren mit einer Motion dazu aufgefordert, das in EMRK und Bundesverfassung garantierte Recht auf den Schutz der Privatsphäre durchzusetzen und die Einwohnerinnen und Einwohner der Schweiz vor der Europäischen Kommission vorgesehenen Chatkontrolle zu schützen. Das EJPD bzw. der Bundesrat lehnte die Motion damals ab, da einerseits die konkrete Ausarbeitung der Chatkontrolle-Richtlinien noch in Arbeit sei und andererseits keine dauernde und pauschale Kommunikationsüberwachung vorsehe („La proposition de règlement ne permet pas à l’Etat de surveiller sans motif les communications de manière généralisée et permanente„). Letzteres erinnert an die Art, wie der NDB in der Schweiz deutlich mehr überwacht als er überwachen dürfte. Es steht auch im Widerspruch zu einem vor der Chatkontrolle warnenden Schreiben, welches die EJPD-Vorsteherin vier Monate zuvor zusammen mit ihren AmtskollegInnen in den Nachbarländern verfasst hatte. Immerhin stellte der Bundesrat damals einen Bericht in Aussicht, welcher die rechtlichen Aspekte und Konsequenzen des Gesetzgebungsprojekts der Europäischen Union bewerten sollte.
Dieser Bericht liegt nun seit Ende September vor, wir haben ihn angeschaut. Eines vorneweg: Der Bericht stützt sich auf den Stand des EU-Vorschlags per Mai 2022, seither vorgenommene Änderungen und Anpassungen wurden nicht berücksichtigt. Da diese Änderungen aber primär darauf ausgerichtet sind, die Sperrminorität im EU-Rat zu brechen und bisher grundsätzlich nichts an der Problematik für NutzerInnen in der Schweiz ändern, gelten die Ausführungen weitgehend auch für den aktuellen Stand. Eine abschliessende Beurteilung ist allerdings erst möglich, falls die Child Sexual Abuse-Verordnung eines Tages zu EU-Recht werden und vom EU-Gericht nicht gleich wieder kassiert würde.
Grundsätzlich hält der Fedpol-Bericht fest, dass die CSA-Verordnung der EU (Child Sexual Abuse-Verordnung, welche eben auch die umstrittenen Regeln zur Überwachung von privaten Chats enthält) keine Weiterentwicklung des Schengen-Besitzstands ist, und sie daher nicht automatisch auch für die Schweiz gültig wäre. Um zu verstehen, wieso man die Verordnung in der Schweiz nicht einfach ignorieren kann, müssen wir zuerst beleuchten, wie internationale Straf-Ermittlungen ablaufen und mit welchen Massnahmen die EU generell versucht, die internationale Zusammenarbeit gerade bei Online-Ermittlungen zu verbessern.
Dass Ermittler von Land A nicht einfach ins Land B reisen und dort Ermittlungen vornehmen oder Menschen festnehmen können, ist allgemein bekannt. Für cross-nationale Ermittlungen braucht es jeweils ein Rechtshilfegesuch von Land A an Land B, welches von letzterem zuerst auf Rechtmässigkeit geprüft wird. Typischerweise wird Rechtshilfe nur dann gewährt, wenn die potenzielle Straftat auch im Land B als solche gilt; auch habe ich als Betroffener die Möglichkeit, innerhalb von Land B gegen die Rechtshilfe zu klagen. All das braucht Zeit, Zeit welche man vor allem bei der Ermittlung in Online-Straffällen oft nicht hat (zum Beispiel, wenn ein als Beweismittel zu sichernder Server in Land B steht), wie wir bereits in einem früheren Beitrag berichtet haben. Aus diesem Grund sind in den letzten Jahren verschiedene internationale Abkommen und Regelungen entstanden (unter auch die Cybercrime Convention der UNO), welche die Ermittlungen in Cyberkriminalfällen vereinfachen und beschleunigen sollen (auch hierzu ein früherer DNIP-Beitrag). Für die Frage, inwieweit eine EU-Chatkontrolle auch in der Schweiz wirksam wäre, ist insbesondere das e-Evidence-Paket der EU relevant.
Das e-Evidence-Paket der EU
Dieses Paket wurde im Sommer 2023 vom EU-Parlament und dem EU-Rat verabschiedet. Ziel des Gesetzespakets ist es, einen kohärenten EU-Rahmen für den Umgang mit elektronischen Beweismitteln zu schaffen und deren Erhebung zu beschleunigen. Die neuen Vorschriften sollen es den Strafverfolgungsbehörden der EU-Mitgliedstaaten insbesondere ermöglichen, Beweismittel direkt von digitalen Diensteanbietern in anderen Mitgliedstaaten anzufordern. Sie schaffen auch Möglichkeiten, um die Aufbewahrung von Daten für einen Zeitraum von bis zu 60 Tagen zu verlangen, damit relevante Daten nicht zerstört werden oder verloren gehen. Dadurch wird ein alternativer Mechanismus zum bisher geltenden Rechtshilfeweg geschaffen, der besser auf Online-Kriminalität zugeschnitten ist. Das EJPD hat bereits im Oktober 2023 einen Bericht dazu verfasst, der aufzeigt, inwieweit auch die Schweiz und hier ansässige Unternehmen wie Threema oder Protonmail von diesen Regeln betroffen sind.
Das e-Evidence-Paket betrifft sämtliche Daten, welche sich auf eine in der EU angebotene Dienstleistungen bezieht, unabhängig von ihrem Speicherort. Erfasst werden dabei Teilnehmerdaten (Kontaktdaten, IP-Adressen etc), Verkehrsdaten (Quelle/Ziel und Zeitpunkt der Kommunikation) wie auch Inhaltsdaten. Eine Echtzeitüberwachung oder das Brechen von E2E-Verschlüsselungen ist nicht vorgesehen, auch enthält die Verordnung Ausnahmeregelungen für Daten, welche im anordnenden Land durch das Berufsgeheimnis geschützt sind.
Konkret kennt das e-Evidence-Paket zwei Arten von Anordnungen:
- Herausgabeanordung: Mittels der Herausgabeanordnung kann die zuständige Behörde eines Mitgliedstaates die unter das e-Evidence-Paket fallenden Daten direkt von einem Diensteanbieter in einem anderen Mitgliedstaat herausverlangen.
- Datenspeicherungsanordnung: Mit der Datenspeicherungsanordnung kann die zuständige Behörde eines Mitgliedstaates einen Diensteanbieter in einem anderen Mitgliedstaat zur Aufbewahrung bestimmter Daten für einen bestimmten Zeitraum verpflichten.
Das e-Evidence-Paket erlaubt der Ermitlungsbehörde in EU-Land A, die jeweilige Anordung direkt und rechtsgültig an den Diensteanbieter in Land B zuzustellen. Bei Datenspeicherungsanordnungen generell sowie bei Herausgabeanordnungen, welche nur der Identifikation von Nutzenden dienen, muss dabei die zuständige Behörde in Land B nicht benachrichtigt werden. Die Überprüfung der Anordnung auf Rechtmässigkeit obliegt in diesen Fällen ausschliesslich dem (privaten) Diensteanbieter.
Eine Überprüfung von Anordnungen durch die zuständige Behörde in Land B ist nur vorgesehen, wenn es um die Herausgabe von Verkehrsdaten/Inhalten geht. Die möglichen Ablehnungsgründe sind in der e-Evidence-Verordung aufgeführt.
Zentral für die Möglichkeit, einem Dienstanbieter im Land B eine Anordnung zuzustellen, ist, dass dieser eine wesentliche Verbindung zur EU haben muss. Darunter werden im e-Evidence-Paket Online-Dienstleistungen (Kommunikationsdienstleistungen, Online-Shops, Online-Zeitungen etc.) verstanden, die im Land B ihren Sitz/Serverstandort haben, aber (unter anderem) auf die EU ausgerichtet sind. Die Ausrichtung wird daran gemessen,
- ob das Unternehmen eine Niederlassung in der EU hat,
- eine erhebliche Anzahl von Nutzenden in der EU, oder
- seine Tätigkeit via Sprache, Währung, Bereitstellung der App in Mitgliedland-spezifischen App-Stores etc. auf mindestens ein Mitgliedland ausrichtet.
Bei einem Dienstanbieter in Portugal oder auf den Bahamas, der auf einer deutschsprachigen Webseite gegen Euro Online-Wetten auf die Bundesliga anbietet, wäre die wesentliche Verbindung daher gegeben. Ein Dienstanbieter mit Sitz in der EU (oder anderswo), welcher nur den chinesischen Markt anspricht, wäre vom e-Evidence-Paket hingegen nicht erfasst.
Was bedeutet dies nun für in der Schweiz ansässige Unternehmen? Betroffen sind grundsätzlich alle Anbieter, welche eine oben erwähnte wesentliche Verbindung zur EU haben, d.h. konkret eine Niederlassung in der EU hat, eine erhebliche Anzahl Nutzende aus der EU hat, oder seine Tätigkeit (unter anderem) auf mindestens einen EU-Mitgliedstaat hat. Da zu letzterem auch das Anbieten von Apps in einem EU-Mitgliedsland-spezifischen App-Store gehört, sind zum Beispiel Anbieter wie Threema oder Protonmail definitiv betroffen. Konkret bedeutet dies, dass
- diese Anbieter entweder eine Niederlassung in der EU eröffnen oder zumindest einen gesetzlichen Vertreter bestimmen müssen,
- europäische Strafverfolgungsbehörden ihre Herausgabe- und Datenspeicherungsanordnungen direkt an diese Niederlassung schicken und diese sie umsetzen müssen.
Damit besteht die Gefahr, dass in der Schweiz gelagerte Daten ohne ein Rechtshilfeverfahren und die damit verbundenen Verfahrensrechten von potenziell Beschuldigten ins Ausland übermittelt werden. Im Weiteren liegt die Verantwortung dafür, eine allfällige Verletzung des Schweizer Rechts zu erkennen bzw. geltend zu machen, beim in der Schweiz ansässigen Unternehmen. Über eine solche Verletzung müsste dann ein Gericht in dem EU-Land entscheiden, welches die Anordnung verfasst hat. Damit verschiebt sich die Pflicht zur Erkennung von Rechtskonflikten im internationalen Bereich bei Online-Ermittlungen vom Staat auf private Unternehmen. (Bemerkung am Rande: das obige ist einer der Gründe, wieso wir auf DNIP keine Spenden in Euro annehmen.)
Die blosse Zugänglichkeit innerhalb der EU auf eine Webseite, oder das Veröffentlichen einer E-Mailadresse oder anderer Kontaktdaten des Diensteanbieters genügen für sich alleine hingegen nicht, um von einer Ausrichtung der Tätigkeiten zu sprechen.
Offen ist, ob und wie die Schweiz ihre Gesetze anpassen wird, um mit dem e-Evidence-Paket kompatibel zu sein. Nichts zu tun ist gemäss fedpol-Bericht die schlechte Variante, da sich so einerseits internationale Gesetzeslücken öffnen und andererseits Schweizer Dienstanbieter Gefahr laufen, gegen StGB 271 zu verstossen (welches verbietet, für einen fremden Staat Handlungen vorzunehmen, die einer Behörde oder einem Beamten zukommen). Damit bleibt als Option, das e-Evidence-Paket in geeigneter Form zu übernehmen oder zumindest die CH-Gesetze so anzupassen, dass Schweizer Dienstanbieter bei der Bearbeitung der entsprechenden Anordnungen der EU nicht mehr in Konflikt mit CH-Recht kommen. Das Fedpol weist in seinem Bericht auch darauf hin, dass die Schweiz versuchen sollte, für ähnliche Situation (Ermittlungen in der Schweiz, Serverstandort im EU-Ausland) ein Gegenrecht zu erwirken.
Und bei der CSA-Verordnung?
Der CSA-Verordnungsvorschlag will den sexuellen Missbrauch von Kindern im Internet bekämpfen, indem die Verbreitung von bekanntem oder neuem kinderpornografischen Material wie auch das gezielte Ansprechen von Kindern für sexuelle Zwecke (Grooming) reduziert oder verhindert wird. Er legt dazu den Anbietern von Online-Diensten eine Reihe von Pflichten auf, darunter das Entfernen und Sperren von identifiziertem CSA-Material und das Unterbinden von Grooming (indem zum Beispiel in einem App Store Apps, bei denen ein erhebliches Grooming-Risiko besteht, durch Kinder nicht heruntergeladen werden können). Diese Pflichten gelten unabhängig vom Niederlassungsort für alle Anbieter, die ihre Dienste in der EU anbieten.
Der umstrittenste Punkt im CSA-Verordnungsvorschlag ist die Chatkontrolle, bzw. die Aufdeckungsanordnung. Diese verpflichtet den Dienstanbieter, die technischen Möglichkeiten zu schaffen, um Chatinhalte überwachen zu können. Da es unrealistisch ist, einem potentiellen Verdächtigen erst im Verdachtsfall eine entsprechende „mit-lesende“ App unterzujubeln (und da der CSA-Verordnungsvorschlag auch vorsieht, Chat-Inhalte automatisch auf bekanntes oder sogar neues CSA-Material zu scannen), läuft das auf eine generelle Mitlese-Möglichkeit durch die Überwachung hinaus. Der Fedpol-Bericht übernimmt in der Einordnung dieser Überwachung allerdings den Wortlaut der EU, wonach eine willkürliche, kontinuierliche, anlasslose und zeitlich unbeschränkte Überwachung der Kommunikation nicht Ziel der Aufdeckungsanordnungen sei. Er referenziert aber immerhin die Stellungnahme des EDÖB, welcher unter anderem festhält, dass die (automatisierte) Überwachung sehr wohl ohne Anfangsverdacht erfolgt und kontinuierlich/zeitlich unbeschränkt stattfindet..
Hier soll es nun aber weniger um Pro/Contra einer solchen Überwachung gehen, sondern um die vom Fedpol identifizierten Auswirkungen und Risiken für Schweizer Unternehmen. Wie eingangs schon erwähnt, ist die CSA-Verordnung zwar nicht als Teil des Schengen-Besitzstands, sie wirkt aber aufgrund ihrer Ausgestaltung auch auf Unternehmen in der Schweiz. Relevant dabei ist auch hier die wesentliche Verbindung zur EU, welche gemäss Verordnungsentwurf
- durch eine Niederlassung in der EU, oder
- (in Ermangelung einer solchen) durch der Existenz einer erheblichen Zahl von Nutzern in einem oder mehreren Mitgliedstaaten oder der Ausrichtung von Tätigkeiten auf einen oder mehrere Mitgliedstaaten
definiert wird. Die Details zur Ausrichtung von Tätigkeiten entsprechen denjenigen des e-Evindece-Pakets, wie bei diesem ist die blosse Zugänglichkeit einer Webseite nicht hinreichend, um eine wesentliche Verbindung zu etablieren.
Aus Sicht der EU bedeutet dies, dass sich Anbieter, die den Tausch von CSA-Material ermöglichen, nicht einfach durch eine Verlegung des Sitzes ins EU-Ausland der Verordnung entziehen können. Umgekehrt bedeutet es aber auch, dass sich Schweizer Dienstanbieter an die CSA-Verordnungsvorgaben halten müssen (wie zum Beispiel Threema, zu dessen Usern auch der deutsche Bundeskanzler gehört), falls sie weiterhin in der EU tätig sein möchten. D.h. insbesondere, dass sie die technischen Möglichkeiten schaffen müssen, um CSA-Material zu erkennen, sperren und entfernen sowie gegebenenfalls Grooming zu unterbinden.
Im Gegensatz zur e-Evidence-Regelung, mit welcher ermittelnde EU-Länder Zugriff auf die Daten anfordern können, welche beim Diensteanbieter bereits heute anfallen, müssten Anbieter für die CSA-Verordnung also ihre Produkte vorsorglich anpassen (bzw. im Fall von E2E-verschlüsselnden Messengern funktional schwächen) um überhaupt noch geschäftlich in der EU tätig sein zu können. Darüber hinaus müssen sie allfälligen Aufdeckungsanordnungen der EU Folge leisten und laufen dabei gemäss aktueller Gesetzeslage Gefahr, in Konflikt mit StGB 271 zu kommen (wie oben beim e-Evidence-Paket bereits erwähnt).
Privatpersonen in der Schweiz wären von der CSA-Verordnung betroffen, sofern sie einen Onlinedienst verwenden welcher auch in der EU angeboten wird, unabhängig von dessen globalen Standort. Angesichts der Grösse und Bedeutung der EU im globalen Markt dürfte das auf praktisch alle Onlinedienste zutreffen. Dies bedeutet für Privatpersonen daher, dass ihre Online-Kommunikation gemäss den Vorgaben der CSA-Verordnung überwacht würde. Da diese keine geographische Einschränkung enthält, wäre dies selbst dann der Fall, wenn in der Schweiz wohnhafte Nutzer mittels einer in der EU angebotenen App untereinander (in der Schweiz) oder mit einer Nutzerin in USA oder in Mexiko kommunizieren.
Aufgrund der in der CSA-Verordnung vorgesehenen Automatismen beim Datenzugriff (bzw. dem Abwälzen der Einspracheverantwortung auf den privaten Dienstanbieter) ist offen, ob und wie die Schweiz ihre Gesetze kompatibel anpassen kann. So kommt das Fedpol zum Schluss, dass „angesichts etablierter, innerstaatlicher Strukturen, die eine durch Überwachung angeordnete Datenerhebung sowie Datenweitergabe ans Ausland nur unter restriktiven Voraussetzungen (und jeweils nur via Rechtshilfe) zulassen, […] diese von der EU vorgeschlagenen Massnahmen zum jetzigen Zeitpunkt mit Zurückhaltung zu betrachten [sind]. Dies umso mehr, als die damalige Vorsteherin des EJPD gemeinsam mit vier europäischen Kolleginnen und Kollegen im Mai 2023 ihre Bedenken gegenüber den Plänen der EU deponierte“ (Bericht des Eidgenössischen Justiz- und Polizeidepartements (EJPD) zum Verordnungsvorschlag der EU-Kommission vom 11. Mai 2022, Seite 34).
Interessenterweise stellt der fedpol-Bericht generell in Frage, „ob die vorgesehene Information über die Existenz einer Aufdeckungsanordnung nicht dazu führt, dass Nutzerinnen und Nutzer mit kriminellen Absichten auf andere, nicht im Anwendungsbereich des CSA-Verordnungsvorschlags liegende Dienste ausweichen bzw. Anbieter zu nutzen versuchen, die Aufdeckungsanordnungen leerlaufen lassen oder sich der EU-Jurisdiktion zu entziehen versuchen. Damit stellt sich die Frage, ob und inwiefern der Erlass von Aufdeckungsanordnungen tatsächlich geeignetes Mittel ist, sexuellen Missbrauch im Internet zu erkennen und zu verhindern.“ (Bericht des Eidgenössischen Justiz- und Polizeidepartements (EJPD) zum Verordnungsvorschlag der EU-Kommission vom 11. Mai 2022, Seite 29f). Während man beim Grooming (d.h. dem Ansprechen von Kindern) davon ausgehen muss, dass allfällige Täter Kommunikationsplattformen nutzen auf welchen Kinder zu finden sind, liegt die Verlagerungsmöglichkeit bei Tauschbörsen für CSA-Material durchaus auf der Hand. Das Fedpol schreibt weiter „Fraglich ist jedoch, ob sich das Ziel nicht auch mit weniger weitgehenden Mitteln erreichen liesse und ob die Aufdeckungsanordnung insgesamt einer Interessenabwägung, insbesondere mit Blick auf die Privatsphäre und das Recht auf informationelle Selbstbestimmung sowie der Meinungsäusserungsfreiheit der Nutzenden standhalten kann“. Es verweist dabei unter anderem auf ein EGMR-Urteil vom Februar 2024, welches die Verpflichtung, verschlüsselte Daten zu entschlüsseln, in jedem Fall als unverhältnismässig ansieht. Eine Entschlüsselung würde den Einbau von «Backdoors» erfolgen, diese würden aber die Verschlüsselung aller Nutzer schwächen und könnten auch von Kriminellen genutzt werden. Dass dies dann auch in der Praxis erfolgt, zeigt ein aktueller Fall in USA. Trotzdem ist es interessent, dass selbst das Fedpol dies so festhält, hat es doch von Amtes wegen durchaus auch ein Interesse an Kommunikationsdaten.
Fazit
Der internationale Trend geht bei Online-Kriminalität klar in Richtung einer Vereinfachung der Ermittlung und des Datenzugriffs über Landesgrenzen hinweg, e-Evidence-Paket und der CSA-Verordnungsvorschlag sind die prominenten EU-Beispiele dazu. Daneben gibt es mit der Cybercrime Convention der UNO und der Budapest-Konvention des Europarats weitere internationale Bestrebungen zur Vereinfachung, auch der US-amerikanische CLOUD Act enthält entsprechende Elemente. Mit all diesen Regelungen und Abkommen geht ein Souveränitsverlust des Landes einher, in welchem betroffene Unternehmen ihren Sitz haben. Diee verschiedenen Gesetze und Konventionen unterscheiden sich stark in Umfang und Art des internationalen Zugriffs. So sieht zum Beispiel die Budapest-Konvention die Verwendung von Rechtshilfegesuchen vor und enthält starke Restriktionen bei der Weitergabe von Inhaltsdaten. Die Fedpol-Berichtet betonen den Vorteil dieser etablierten Wege, da sie den Behörden vertraut sind und auch die Rechte von Betroffenen angemessen schützen.
Unabhängig von der Ausprägung ist der Trend zur vereinfachten Zusammenarbeit aber wohl auf dem internationalen Parkett angekommen. Man mag das im Bezug auf Kriminalitätsbekämpfung (egal ob es um durchs Internet erleichterte oder erst ermöglichte Kriminalität handelt) durchaus begrüssen. Zu hoffen bleibt, dass dies unter Beachtung von Privatsphäre und Meinungsäusserungsfreiheit geschieht, und der allzu naive Glaube an die Allmacht der Technik spätestens vor Gericht zurückgebunden wird.
Und so sehr es positiv überrascht, dass sich das Fedpol insbesondere beim CSA-Bericht skeptisch zum Nutzen einer Chatkontrolle äussert: Es kommt hier wohl auf die Frage an, die beantwortet werden soll. Im Kontext eines Berichts zu den Auswirkungen einer Chatkontrolle auf Schweizer Unternehmen und NutzerInnen macht Skepsis Sinn, da dabei auch der Schutz der Privatsphäre eine Rolle spielt. Es wäre vermutlich kaum überraschend, falls das Fedpol bei einem allfälligen Bericht zum Nutzen einer Chatkontrolle in der Schweiz zu einer anderen Einschätzung gelangen würde.
Eine Antwort
Der niederländische Geheimdienst findet Chatkontrolle auch nicht gut. U.a. da Komplexität der Feind der Zuverlässigkeit und Sicherheit ist:
https://berthub.eu/articles/posts/dutch-intel-service-csam-update/