Europäische Strafverfolgungsbehörden wollen Innovationen „mit“ Verschlüsselung vornehmen.
Dies mag jedoch besser als angenommen sein.
Vom 13.–14. September hielt die „EU Innovation Hub for Internal Security“-Konferenz einen geschlossenen Runden Tisch ab, um zu diskutieren, wie die Arbeit von Strafverfolgungsbehörden, die sich mit verschlüsselten Daten konfrontiert sehen, verbessert werden könnte. Genauer gesagt war es Ziel dieses Gesprächs, zu untersuchen, wie Fortschritte beim Bekämpfen der durch Verschlüsselung verursachten Einschränkungen, denen Strafverfolgungsbehörden und die Justiz sich gegenüber sehen, bewirkt werden könnten, ohne dabei zusätzliche Risiken für Grundrechte oder den rechtmäßigen Schutz von Informationen zu verursachen.
Encryption Europe – das Bündnis, mit dessen Koordination ich seit 2019 beauftragt bin und zu dessen geschätzten Mitgliedern auch Tresorit zählt – wurde dazu eingeladen, seine Meinung zum Thema vorzutragen, insbesondere, was Innovationen im Bereich Metadaten und den Dialog mit Anbietern von OTT-Inhalten angeht.
In Bezug auf dieses sensible Thema kann ich mir kein besseres Beispiel in Erinnerung rufen, als den innerhalb des letzten Jahres veröffentlichten Beitrag von Ciaran Martin: End-to-end encryption: the (fruitless?) search for a compromise. Martin, ein Professor der Blavatnik School of Government and der Universität Oxford, ist der ehemalige Chief Executive Officer des britischen National Cyber Security Centre: Er verfügt über ein ausgeprägtes Bewusstsein für die Herausforderungen, die der Balanceakt zwischen nationalen Sicherheitsinteressen und dem allgemeinen Interesse der Nation, sicher sein zu wollen, mit sich bringt. In seinem aufschlussreichen Beitrag beschreibt Martin klar und deutlich, was auf dem Spiel steht. Um ein tieferes Verständnis für die von mir unten aufgeführten Sachverhalte zu entwickeln, möchte ich meinen Lesern dringend dazu raten, Martins einfach verständliche Abhandlung heranzuziehen.
Da Sie nun über dieses Hintergrundwissen verfügen, lassen Sie mich die folgenden drei Fragen angehen: Was ist letzte Woche auf dem EU Innovation Hub geschehen? Warum ist dies (möglicherweise) bedeutungsvoll? Was steht, realistisch gesehen, als Nächstes an?
Was ist letzte Woche auf dem EU Innovation Hub geschehen?
Oberflächlich betrachtet nicht viel: Einige Teilnehmer präsentierten Projekte, die bereits öffentlich bekannt sind, und Vertreter der akademischen Welt, der Wirtschaft und der Strafverfolgung tauschten ihre Ansichten aus, die ebenfalls vorher bekannt gewesen sind. Was Encryption Europe angeht, haben wir – wenig überraschend – für die zentrale Bedeutung von Verschlüsselung in der EU plädiert. Wir haben es Regierungen nahegelegt, sich von bestimmten schlechten Praktiken fernzuhalten (auch hierzu finden Sie Details in Martins Veröffentlichung) und stattdessen bewährte Praktiken zu unterstützen, wie das Heranziehen von Fakten für die Erarbeitung von Richtlinien (von OTT-Anbietern veröffentlichte Transparenzberichte sind ein erster Schritt in die richtige Richtung) und das Einbeziehen vertrauenswürdiger Dritter (wie Vertreter aus akademischen Kreisen und der Wirtschaft – z. B. Encryption Europe). Unser vollständiger Bericht ist auf unserer Webseite nachzulesen.
Warum ist dies (möglicherweise) bedeutungsvoll?
Wie Sie Martins Beitrag entnommen werden haben, ist die Debatte rund um Verschlüsselung keineswegs neu und weiterhin sehr lebendig und niemand – weder die sogenannten „Five Eyes“ (UKUSA-Vereinbarung) noch die EU (und ihre Mitgliedstaaten) – kann mit genauer Sicherheit sagen, wie weit das Recht auf Verschlüsselung ohne Hintertüren geschützt werden kann. In diesem Kontext ist die Tatsache, dass die Europäische Kommission ein Meeting und Gespräch mit verschiedenen Teilnehmern aus der Wirtschaft und der akademischen Welt einberufen hat, ein großer Fortschritt. Ich kann bereits die Skeptiker hören, die murren, dass die EU zwar viel redet, aber nur wenige Ergebnisse abliefert. Dies mag zwar der Fall sein, aber ist bei einem Bündnis von 27 Mitgliedstaaten nur schwer zu vermeiden. In diesem Fall bin ich froh, dass wir die Möglichkeit haben, Raum für eine Multistakeholder-Diskussion zu schaffen, in der Sichtweisen von sowohl Strafverfolgungsbehörden als auch Menschenrechtsvertretern repräsentiert sind. Tatsächlich kann ich Ihnen mit Freude mitteilen, dass ich keine Forderungen nach Hintertüren oder schwächerer Verschlüsselung vernommen habe. Und das ist bereits ein großartiges Ergebnis an sich!
Was steht, realistisch gesehen, als Nächstes an?
Die kurze Antwort ist: Ich habe keine Ahnung und ich habe den Verdacht, dass noch keine Entscheidung über die nächsten Schritte gefällt wurde. In dem Versuch, nach Lösungen zu suchen, hat Encryption Europe vorgeschlagen, dass ein Multistakeholder-Gespräch im vertrauenswürdigen Umfeld des Europarats organisiert werden sollte. Der im französischen Straßburg ansässige Europarat ist das Zuhause der Demokratie und Menschenrechte. Das an dieser Regierungsbehörde Einzigartige ist ihre unbestrittene Erfolgsbilanz in der Verteidigung von Menschenrechten (sie betreibt den Europäischen Gerichtshof für Menschenrechte) und Demokratie (sie ebnete im Anschluss an den Einsturz der UdSSR den Weg für Demokratie in einem Großteil der osteuropäischen Länder) sowie im Kampf gegen Cyberkriminalität (mit der Cybercrime Convention als eines ihrer erfolgreichsten Instrumente). Die Möglichkeit, dass der Europarat in diesem Bereich in naher Zukunft eine Rolle spielen wird, mag zwar gering sein, aber da
- rechtliche und politische Unsicherheiten die Tätigkeit von Strafverfolgungsbehörden verhindern und
- keine Chance auf Fortschritt besteht, wenn wir keine neuen vertrauenswürdigen Partner in die Diskussion miteinbeziehen,
würde ich sagen, dass diese Institution über kurz oder lang der richtige Ort sein wird, um einen Weg nach vorn zu definieren. Bis dahin stellt zumindest der EU Innovation Hub for Internal Security eine neue und vielversprechende Initiative für reife und gesunde politische Arbeit auf diesem Gebiet dar.