Erstellt am: 27. 12. 2016 - 19:01 Uhr
EU-Agenda 2017 zur Überwachung Sozialer Netze
Die Auseinandersetzung zwischen der EU-Kommission und Facebook hat zum Jahresende noch einmal an Schärfe zugelegt. Kurz vor Weihnachten hatte Wettbewerbskommissarin Margrethe Verstager Facebook falsche Angaben gegenüber der Kommission bei der Übernahme von WhatsApp 2014 vorgeworfen. Anders als damals angekündigt, hatte Facebook im August erklärt, nun doch Benutzerprofile von WhatsApp mit Facebookeinträgen zu verknüpfen. Die Antwortfrist für Facebook läuft bis 31. Jänner.
Internetkonzerne gerieten 2016 steuerlich, mit neuen Datenschutzregeln und zuletzt mit Löschungsaufforderungen gegen "Hasspostings" immer mehr unter Druck, die neuen Maßnahmen werden 2017 schlagend.
Ebenfalls für Anfang 2017 ist eine Gesetzesinitiative der Kommission zur Überwachung Sozialer Netze zu erwarten. Seit dem deutschfranzösischen Vorstoß im Sommer hatten sich die Indizien dafür laufend verdichtet. Als wahrscheinlichste Zielrichtung sind nun nicht mehr Verschlüsselung und Hintertüren im Gespräch, sondern verpflichtende Schnittstellen, über die Daten von Facebook und Co an die Strafverfolger überspielt werden sollen.
European Union , 2016
Hintertüren offenbar vom Tisch
Wie die neuen Überwachungsmaßnahmen im Detail aussehen könnten ist derzeit noch unklar, denn Juristen der Kommission loten die möglichen Ansätze gerade aus (siehe unten). Mit einiger Sicherheit steht jedenfalls fest, dass die seit Jahren immer wieder geforderten Hintertüren zum Knacken der Verschlüsselung von WhatsApp, Facebook Messenger und anderen Diensten vom Tisch sind.
Nacheinander hatten sich von der EU-Kommission selbst bis zur EU-Sicherheitsagentur ENISA alle maßgeblichen Gremien der Union im Verlauf des Herbsts gegen eine solch gefährliche Maßnahme gewandt. Dass solche Hintertüren für die Strafverfolger zugleich Einfallstore für Kriminelle und staatliche Angreifer sind, hat sich im Lauf von 2016 offenbar auch bis zu den Hardlinern in der EU-Kommission durchgesprochen.
Der innenministerielle Meinungsbildungsprozess
Diesen Lernprozess widerspiegeln auch die hochrangigen Treffen der letzten sechs Monate. Auf die Zusammenkunft des Ministerrats іm Juli zum Thema "Probleme der Strafverfolger mit Verschlüsselung" folgte die Ankündigung des fanzösischen Innenministers Bernard Cazeneuve und seines deutschen Gegenstücks Thomas de Maiziere, eine "koordinierte Antwort" auf das Verschlüsselungsproblem zu finden. Die Antworten auf zwei Fragenkataloge der Kommission sowie der slowakischen Ratspräsidentschaft zum Thema Strafverfolger und Industrie dürften dann einen Meinungswandel der Innenminister unterstützt haben.
Beim jüngsten Treffen von de Maiziere und Cazeneuve im November standen nämlich nicht mehr "Verschlüsselungsprobleme" im Mittelpunkt, sondern ominiöse "Maßnahmen in der Jurisdiktion". Beim folgenden Dezembertreffen der Innen- und Justizminister wurden juristische Gremien der Kommission angewiesen, bis spätestens Juni 2017 eine Reihe von Gesetzesvorschlägen auszuarbeiten. Das ist derzeit so ziemlich alles, was aus den Gremien über "Lösungen auf gesetzgeberischer Ebene" derzeit zu erfahren ist. Wie diese "Lösungen" aussehen könnten, lässt sich dennoch in etwa sagen, wenn man über den digitalen Tellerrand dieser geplanten Überwachungsregelung hinausblickt und andere aktuelle EU-Initiativen vergleicht.
APA/AFP/STEPHANE DE SAKUTIN
Gleichstellung mit Zugangsprovidern
Im Kommissionsentwurf zur e-Privacy-Novelle wurden die für Telekoms bestehenden Auflagen zum Datenschutz auf die Serviceprovider wie sogenannte Over-The-Top-Services wie etwa Whatsapp oder Facebook Messenger ausgedehnt. Damit werden sie den Telekoms weitgehend gleichgestellt. So müssen europäische Provider von Internetzugängen - in erster Linie sind das die eingesessenen Telekoms - Schnittstellen für die Strafverfolger bereitstellen.
Die ersten Pläne des Ministerrats zur Überwachung der Sozialen Netze datieren aus dem Jänner 2015, damals standen Hintertüren im Vordergrund. Diese Diskussionen gingen auf die Forderungen von Europol und FBI nach "Goldenen Schlüsseln" zu Sozialen Netzen vom Herbst 2014 zurück
Auf Beschluss eines ordentlichen Gerichts werden den ermittelnden Beamten darüber Telefonate, SMS und Internetverkehrsdaten eines Verdächtigen zugänglich gemacht werden. Sogenannte "Over- The-Top-Services" wie Soziale Netzwerke waren davon bisher ausgenommen, die Behörden griffen die Daten eines Verdächtigen einfach beim Provider seines Internetzugangs ab. Bei Facebook, WhatsApp und einer rasant gestiegenen Zahl populärer Services funktioniert das Abzapfen der Daten beim regionalen Zugangsprovider - in der Regel eine Telekom - inzwischen nicht mehr.
Erst Verschlüsselung, dann Schnittstellen
Nach dem NSA-Skandal waren diese Services auf Ende-zu-Ende-Verschlüsselung umgestiegen, an den Schnittstellen der Zugangsanbieter kann dieser Datenverkehr daher nicht mehr im Klartext bereitgestellt werden. Die Inhalte von Chats und anderen Kommunikationen über eine mit HTTPS verschlüsselte Verbindung können nur noch an einem Punkt im Klartext abgegriffen werden, nämlich nach ihrer Entschlüsselung im betreffenden Sozialen Netzwerk.
ISPA
Aus der Umsetzung des ominösen Beschlusses im Fischereiausschuss für Schnittstellen zur Überwachung resultierte im Jahr 1998 in der sogenannten ENFOPOL-Affäre
Für die Übermittlung von Daten an die Strafverfolger aber bedarf es einer definierten Schnittstelle, wie sie in den Netzen der Telekoms nach 1995 erst für Telefonie und später für Internetzugänge eingeführt wurde. Seit dem berühmt gewordenen, ersten Beschluss zur Überwachbarkeit der damals neuen, digitalen Handynetze im EU-Fischereiausschuss von 1995 ist in allen einschlägigen Überwachungsrichtlinien und Verordnungen der Union festgeschrieben, dass Provider verschlüsselten Datenverkehr im Klartext bereitstellen müssen, so sie über die zugehörigen Schlüssel verfügen.
Letzteres trifft auf so gut wie alle kommerziellen Sozialen Netze zu, da sie diese Benutzerdaten selbst im Klartext speichern, um sie zu rastern und auszuwerten. Da im e-Privacy-Entwurf Facebook und Co den Zugangsprovidern bei Datenschutzverpflichtungen gleichgestellt werden, liegt es auf der Hand, auch bei der "gesetzesmäßigen Überwachung" - bzw "Lawful Interception", wie es im Rotwelsch der EU-Juristen heißt - Gleichbehandlung zu verordnen.
"Zugang zu elektronischen Beweismitteln"
In Brüsseler Kreisen kursiert bereits eine gemeinsame Formelierung für dieses Vorgehen, nämlich die Forderung der Strafverfolger nach "Zugang zu elektronischen Beweismitteln" ("access to e-evidence"). Das berichtet die digitale Bürgerrechtsorganisation Access Now, die diese aktuellen Entwicklungen über ein halbes Jahr genau verfolgt hat und die Brüsseler Geheimniskrämerei rund um einen geplanten, so schwerwiegenden Eingriff in den Datenschutz angeprangert hat.
Public Domain
Dieselben Innen- und Justizminister treiben neue Überwachungsmaßnahmen auch im weniger bekannten Europarat ("Council of Europe", COE) voran, dem etwa auch Russland und die Türkei angehören. Seit Mitte November wird dort über ein Update der "Konvention zu Cybercrime" von 2001 für das Zeitalter des Cloud Computing verhandelt. Während der ersten Monate 2017 soll ein Zusatzprotokoll der Konvention zum "Zugriff auf Beweismittel in der Cloud" ausgearbeitet werden. Dabei sollen auch ausländische Strafverfolger Provider von Internetservices direkt dazu veranlassen können, Daten bestimmter Nutzer herauszugeben. Auch dafür braucht es technisch gesehen ein standardisiertes Interface, über das die Daten dann überspielt werden.
Im August war Apple vom Ressort der EU-Kommissarin für Wettbewerb zur Rückzahlung unerlaubter Steuervergünstigungen von 13 Milliarden Euro an Irland verdonnert worden.
Strategischer Ausblick 2017
Dass diese Vorhaben 2017 tatsächlich so umgesetzt werden, ist sehr wahrscheinlich. Die Internetkonzerne sind 2016 immer stärker und von allen Seiten unter Druck geraten. Gegen Google laufen drei Kartelllverfahren, Apple beruft gerade gegen eine Steuernachzahlung in Höhe von 13,5 Milliarden Euro. Mit dem aktuellen Vorgehen gegen Facebook mit einer möglichen Höchststrafe von einem Prozent des weltweiten Umsatzes laufen aus dem Ressort Vestagers alleine drei verschiedene Wirtschaftsverfahren gegen die drei mithin größten Internetkonzerne.
Serie, Teil eins
EU nimmt 2017 Facebook und Co. in die Pflicht
Auf Ebene des Ministerrats ist eine weitere Gesetzesinitiative gegen Hasspostings vor allem auf Facebook für 2017 zu erwarten. Das hatten der deutsche Innenminister Thomas de Maiziere (CDU) und Justizminister Heiko Maas (SPD) vor wenigen Tagen gemeinsam angekündigt. Über diesen Vorstoß wird im dritten Teil dieser Serie über den steigenden Druck auf die Internetkonzerne zu lesen sein.