Dieser Artikel stammt von Netzpolitik.org.
Eine bisher von der EU-Kommission geheim gehaltene Liste, die wir veröffentlichen, zeigt wie Geheimdienstvertreter:innen und Polizeien verschiedener Länder frühzeitig in die Chatkontrolle-Verordnung eingebunden waren. Eine große Rolle spielte auch die startup-ähnliche Organisation Thorn.
Bei der Erarbeitung der Chatkontrolle-Verordnung hat die EU-Kommission nicht nur eng mit der umstrittenen Organisation Thorn zusammengearbeitet, sondern auch mit Vertreter:innen von Europol, der australischen und der spanischen Polizei sowie Vertretern des britischen Geheimdienstes GCHQ.
Die bisher geheim gehaltene Liste der EU-Kommission, die wir veröffentlichen, gibt Auskunft darüber, welche „Expert:innen“ die EU-Kommission bei der Erarbeitung der Chatkontrolle-Verordnung eingeladen hat. Sie wurden im Rahmen des EU Internet Forums für die technische Folgenabschätzung der Chatkontrolle angehört, die im Mai 2022 publiziert wurde.
Laut dieser Liste hat die EU-Kommission im Vorfeld 32 Personen angehört. Davon stammten vier aus dem akademischen Umfeld, neun von Nichtregierungsorganisationen und ebenfalls neun von Regierungsstellen. Zehn weitere Personen stammten aus der Industrie, hier dominieren Microsoft und Google.
Nach Recherchen von netzpolitik.org befürworten die Expert:innen überwiegend eine Ausweitung von anlassloser Massenüberwachung. In Teilen sind sie erklärte Gegner:innen von Ende-zu-Ende-Verschlüsselung. Vertreter:innen der Zivilgesellschaft, die sich für den Schutz digitaler Grundrechte einsetzen, hatte die EU-Kommission offenkundig nicht berücksichtigt.
„Überwachungsbehördlich-industrieller Komplex“
Elina Eickstädt, die beim Chaos Computer Club zur Chatkontrolle arbeitet, kritisiert die Auswahl scharf: “Die nun öffentlich gewordene Liste zeigt, dass die Kommission nur sehr einseitige Expertise zur Chatkontrolle-Verordnung eingeholt hat. Das bestätigt einmal mehr, dass das Ziel mehr die Unterwanderung von Ende-zu-Ende-verschlüsselter Kommunikation und weniger wirklich effektiver Kinderschutz war.“
Der EU-Abgeordnete Patrick Breyer sieht durch die Liste bestätigt, dass die Chatkontrolle letztlich ein „Produkt der Lobby eines internationalen überwachungsbehördlich-industriellen Komplexes“ sei. „Big Sister Johansson“ habe Wissenschaft und Zivilgesellschaft in der EU fast vollständig übergangen, um einen „einzigartigen Zerstörungsangriff auf das digitale Briefgeheimnis und sichere Verschlüsselung“ vorzubereiten.
Britischer Geheimdienst beteiligt
Gleich mit zwei Vertretern saß der britische Geheimdienst GCHQ bei den Beratungen am Tisch. Einerseits direkt über den GCHQ und andererseits über einen Abgesandten des National Cyber Security Centers (NCSC), einer Unterorganisation des Geheimdienstes.
Für den GCHQ hörte die EU-Kommission Crispin Robinson an, er ist technischer Direktor für Kryptoanalyse beim Geheimdienst. Das NCSC vertrat der damalige technische Direktor Ian Levy. Die beiden kennen sich gut: Sie haben unter anderem gemeinsam im Juli 2022 ein Papier veröffentlicht, in dem sie sich für automatische Erkennung von Grooming und Client-Side-Scanning aussprechen, die Technologie hinter der Chatkontrolle. Beide haben in der Vergangenheit wiederholt Vorschläge vorgestellt, wie verschlüsselte Kommunikation geschwächt werden kann. So schlugen sie im Jahr 2019 vor, sogenannte Geister-User in Messenger einzuschleusen.
Von europäischen Regierungsstellen und Behörden waren ein Vertreter von Europol sowie zwei der spanischen Polizei, der Guardia Civil, geladen. Aus der EU-Kommission selbst saßen zwei Vertreter am Tisch: Laurent Beslay hat sich in seiner akademischen Karriere eingehend mit automatisierter Inhalteerkennung sowie mit „Chancen und Risiken digitaler Überwachung“ beschäftigt; inzwischen arbeitet er für die Gemeinsame Forschungsstelle der Kommission. IT-Sicherheitsexpertise hat auch Iwen Coisel eingebracht, der seit rund zwei Jahren im Dienst von Europol steht.
Auffällig ist, dass die EU-Kommission von den neun Regierungsvertreter:innen auch zwei von der australischen Bundespolizei einlud. Hintergrund könnte hier sein, dass Australien seit 2019 ein Gesetz gegen sichere Verschlüsselung anwendet. Australien gehört wie das Vereinigte Königreich, die USA, Neuseeland und Kanada zum Geheimdienstverbund „Five Eyes“.
Einseitige Zivilgesellschaft
Von den gerade einmal neun Vertreter:innen der Zivilgesellschaft stammt mehr als die Hälfte von der umstrittenen Organisation Thorn. Fast jeder fünfte der Expert:innen gehörte der startupähnlichen Organisation rund um den Hollywood-Schauspieler Ashton Kutcher an. Einer der fünf Vertreter:innen von Thorn war früher obendrein beim FBI tätig, wie sein LinkedIn-Profil verrät. Thorn gibt sich offiziell als gemeinnützige Organisation aus, entwickelt und verkauft aber auch Software zur Erkennung von Dateien, die Darstellungen von sexualisierter Gewalt zeigen.
Die Organisation hat, wie aus Dokumenten und Recherchen hervorgeht, einen sehr guten Zugang zur EU-Innenkommissarin und ist Teil eines millionenschweren Lobbynetzwerkes. In einem Brief, den netzpolitik.org veröffentlicht hat, schrieb sie, dass Thorn und die Kommission „Partner bei der Ausarbeitung dieses starken Vorschlags“ bei der Chatkontrolle-Verordnung gewesen seien.
Die weiteren vier angehörten Vertreter:innen von Nichtregierungsorganisationen sind vom US-amerikanischen National Center for Missing & Exploited Children (NCMEC) und dem Canadian Centre für Child Protection.
Nur wenig Wissenschaft angehört
Nur vier der angehörten Expert:innen gehörten dem Bereich der Wissenschaft an. Einer von ihnen, Hany Farid, ist ein ausgesprochener Befürworter von automatischer Bilderkennung weit über die Bekämpfung von sexualisierter Gewalt gegen Kinder hinaus. Farid hat 2018 für das Counter Extremism Project (CEP) eine Studie erstellt. Das CEP ist eine Organisation mit zahlreichen personellen Verbindungen zu westlichen Sicherheitsbehörden und Geheimdiensten, unter anderem sitzt dort der ehemalige BND-Chef August Hanning im Beirat.
Überschneidungen gibt es auch zu anderen Teilen der Expert:innengruppe: Gemeinsam mit Microsoft hat Farid die Software PhotoDNA entwickelt, die als Industriestandard für die Erkennung von Darstellungen von Kindesmissbrauch gilt. Die Datenbank digitaler Fingerabdrücke wird inzwischen von NCMEC betrieben und von so gut wie allen großen Online-Diensten eingesetzt, um nach Darstellungen von Gewalt gegen Kinder zu suchen.
Zudem ist Farid als Senior Advisor bei der Firma „Truepic“ tätig, die sich auf digitale Forensik von Bildern spezialisiert. Daneben hat er unter anderem für die Defense Advanced Research Projects Agency (DARPA) des US-Militärs ein Projekt zu Medienforensik auf den Weg gebracht.
Zu den weiteren Expert:innen zählte der frühere Facebook-Sicherheitschef Alex Stamos.
An kritischen Stimmen war die EU-Kommission bestenfalls am Rande interessiert. Schon im Jahr 2021 hatten führende Sicherheitsforscherinnen und Kryptografen frühzeitig vor der Chatkontrolle gewarnt. In einem späteren Brief sprachen sich mehr als 450 Wissenschaftler:innen gegen das Projekt aus. Ihr Protest blieb bislang weitgehend ungehört.
So kam die Liste an die Öffentlichkeit
Bei der EU-Kommission hatte das Irish Council for Civil Liberties die Liste der Expert:innen angefragt. Die EU-Kommission hatte deren Existenz zunächst bestritten. Daraufhin hatte sich die Organisation im Dezember 2022 beim EU-Ombudsmann beschwert. Der Ombudsmann entschied nun Ende Oktober, dass die Liste existiert und die EU-Kommission sie hätte herausgeben sollen – was diese bis heute verweigert.
Die Kommission begründete laut Euractiv ihren Schritt mit „Gründen des Datenschutzes und der öffentlichen Sicherheit angesichts der Art der diskutierten Themen“. Unabhängig vom Ombudsmann veröffentlichte der EU-Abgeordnete Patrick Breyer die Liste gestern auf Mastodon. Dem Irish Council for Civil Liberties (ICCL) liegt die Liste noch nicht vor, sie konnte daher offiziell nicht bestätigt werden.
Kris Shrishak vom ICCL hält die Liste auf zweierlei Art für verblüffend: „Einerseits enthält die Liste nur sehr wenige Verschlüsselungsexperten und keine Experten für digitale Rechte, obwohl es sie in der EU in Hülle und Fülle gibt. Auch fehlen Vertreter des europäischen Kinderschutzes. Andererseits enthält sie Mitglieder der australischen Bundespolizei sowie von NCMEC – und von Thorn, die ein persönliches Interesse haben.“
Shrishak hält das ganze Verfahren für undurchsichtig. Er sagt gegenüber netzpolitik.org: „Der gesamte Prozess der Expertenkonsultation und -beteiligung sollte öffentlich sein. Die Art und Weise, wie die Experten ausgewählt werden, sollte öffentlich sein, ebenso wie die Tagesordnung der Sitzungen und die Protokolle. Ein wichtiger Rechtsakt ohne ein transparentes Verfahren, der sich auf eine geheime Expertengruppe stützt, ist nicht akzeptabel.“
Das Dokument
| Last name | First name | Organization | Organization type |
| Farid | Hany | University of California, Berkeley | Academia |
| Levine | Brian | University of Massachusetts Amherst | Academia |
| Preneel | Bart | Katholieke Universiteit Leuven | Academia |
| Stamos | Alex | Stanford Internet Observatory | Academia |
| LaMacchia | Brian | Microsoft | Industry |
| Benaloh | Josh | Microsoft | Industry |
| Barbosa | Norman | Microsoft | Industry |
| Davis | Sean | Microsoft | Industry |
| Harings | Johanna | Microsoft | Industry |
| Pancini | Marco | Industry | |
| Naruns | Natalie | Industry | |
| Omara | Emad | Industry | |
| Lieber | David | Industry | |
| Hall | Stephen | MEGA | Industry |
| Cashman Kirstein | Emily | Thorn | NGO |
| Rust-Smith | David | Thorn | NGO |
| Starr | John | Thorn | NGO |
| Boorse | Kristin | Thorn | NGO |
| Walker | Sarah | Thorn | NGO |
| DeLaune | Michelle | NCMEC | NGO |
| Sheehan | John | NCMEC | NGO |
| Johnston | Mark | Canadian Centre for Child Protection | NGO |
| Richardson | Lloyd | Canadian Centre for Child Protection | NGO |
| Boudry | Douglas | Australian Federal Police | Government |
| Dalins | Janis | Australian Federal Police/Monash university | Government |
| Coisel | Iwen | European Commission | Government |
| Beslay | Laurent | European Commission | Government |
| Carame Soto | Jose Luis | Spanish Guardia Civil | Government |
| de Dios Gomez Gomez | Juan | Spanish Guardia Civil | Government |
| Levy | Ian | NCSC | Government |
| Robinson | Crispin | GCHQ | Government |
| Steube | Jens | Europol | Government |
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel
Author: Markus Reuter
