Der Rat der Europäischen Union hat sich in einem Entwurfspapier vom 21.10.2020 darauf verständigt, dass Anbieter von Ende-zu-Ende-Verschlüsselungstechnologien staatlichen Stellen einen Zugriff auf verschlüsselte Kommunikationsinhalte gewähren sollen. Dies berichtet jetzt Heise Online.

Das mit „Security through encryption and security despite encryption” überschriebene Papier betont zwar einerseits die fundamentale Bedeutung von Verschlüsselung für den Datenverkehr, wie sie etwa auch jüngst der Europäische Gerichtshof in seiner Schrems-II-Entscheidung eingefordert hat. Andererseits aber fordert der Rat deutlich eine Zugriffsmöglichkeit für „enforcement powers“ auf Ende zu Ende verschlüsselte Kommunikation. Wenig überraschend wird für die (angebliche) Notwendigkeit einer solchen Zugriffsmöglichkeit auf die Bekämpfung von Terrorismus und Kinderpornografie verwiesen. In dem Papier heißt es:

Der Schutz der Privatsphäre und die Sicherheit der Kommunikation durch Verschlüsselung einerseits und die Aufrechterhaltung der Möglichkeit für Strafverfolgungs- und Justizbehörden, rechtmäßig auf relevante Daten für legitime, klar definierte Zwecke der Bekämpfung schwerer Straftaten in der digitalen Welt zuzugreifen andererseits, sind extrem wichtig.

Hinterlegung des Generalschlüssels

Dabei ist die Mitwirkung der Technologieanbieter erforderlich, wofür ein rechtlicher Rahmen geschaffen werden soll. Dies wird, worauf Heise Online hinweist, wohl auf eine Pflicht zur Hinterlegung eines Generalschlüssels bei staatlichen Stellen hinauslaufen, mit dessen Hilfe die Verschlüsselung gebrochen werden kann (sog. key escrow).

Zwar wird in dem Papier vielfach das Verhältnismäßigkeitsprinzip betont. Bei Lichte betrachtet ist der Vorstoß aber sehr problematisch, nicht zuletzt verfassungsrechtlich. Zum einen steht die Forderung nach einem Generalschlüssel in einem erheblichen Spannungsfeld zum Schutz des Fernmeldegeheimnisses und zum Datenschutz, wie der Rat durch seinen vorsorglichen Verweis auf die Schrems-II-Rechtsprechung wohl auch selbst erkannt hat. Zum anderen beeinträchtigt das Vorhaben ersichtlich das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme, das das Bundesverfassungsgericht in seiner 2008er Entscheidung zur Online-Durchsuchung aus dem allgemeinen Persönlichkeitsrecht abgeleitet hat. Demnach ist die

heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, […] verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen.

Chilling Effects auf Grundrechte

Daneben bestehen laut Bundesverfassungsgericht für den Zugriff erhebliche Hürden, u.a. ein Richtervorbehalt. Verhältnismäßigkeitserwägungen und Richtervorbehalt könnten zwar auf Ebene des tatsächlichen Zugriffs und/oder der Auswertung verschlüsselter Kommunikation berücksichtigt werden. Dies hilft aber nichts in Bezug auf die gravierenden Einschränkungen, die von der Hinterlegung eines Generalschlüssels bereits im Vorfeld solcher konkreten Maßnahmen ausgeht. Denn wenn der Kommunikationsteilnehmer weiß oder befürchten muss, dass das von ihm genutzte informationstechnische System dergestalt kompromittiert ist, dass der Staat jegliche (vermeintlich) Ende zu Ende verschlüsselte Nachrichten bei Bedarf – wenn auch unter gewissen rechtsstaatlichen Hürden – auslesen kann, so wird dies voraussichtlich einen chilling effect auf die Ausübung der Grundrechte haben. Derjenige, der sich der Vertraulichkeit seiner Kommunikation nicht gewiss sein kann, wird voraussichtlich entweder solche Kommunikation reduzieren bzw. gar ganz einstellen, oder auf solche Anbieter ausweichen, die – möglicherweise künftig rechtswidrig – Verschlüsselungslösungen bereitstellen, die sich der Pflicht zur Schlüsselherausgabe entziehen.

Diese massive Grundrechtseinschränkung, die auch den Kernbereich privater Lebensführung erfasst, wird sich auch kaum mit einer Verhältnismäßigkeitsabwägung rechtfertigen lassen. Wie das Bundesverfassungsgericht festgehalten hat, haben

[h]eimliche Überwachungsmaßnahmen staatlicher Stellen […] einen unantastbaren Kernbereich privater Lebensgestaltung zu wahren […]. Selbst überwiegende Interessen der Allgemeinheit können einen Eingriff in ihn nicht rechtfertigen.

Missbrauchsmöglichkeiten liegen auf der Hand

Zwar kennen auch traditionelle Übermittlungswege das Risiko des geregelten rechtmäßigen Abfangens (lawful interception). Allerdings wäre kein Versender eines Briefes daran gehindert, den Text mit einem dem Empfänger bekannten Verschlüsselungsverfahren zu verschlüsseln. Eine Verpflichtung des Einzelnen, den zugehörigen Schlüssel präventiv bei einer Behörde zu hinterlegen, um z. B. im Falle eines konkreten Terrorismusverdachts eine Entschlüsselung zu ermöglichen, würde wohl allseits für hochgezogene Augenbrauen sorgen und eine Verfassungsbeschwerde folgen lassen. Das Gefühl des Befremdens mindert sich allerdings nicht allein deswegen, weil die Hinterlegungspflicht nicht dem einzelnen Kommunikationsteilnehmer, sondern der Kommunikationsplattform auferlegt wird. Auch damit wird den Kommunikationsteilnehmern die Möglichkeit genommen, eine unter allen Umständen private und dem staatlichen Zugriff entzogene Kommunikation zu führen. Die Missbrauchsmöglichkeiten eines solchen Systems liegen nicht erst seit den Berichten von Edward Snowdon auf der Hand.

Rechtsstaatskonforme Umsetzung sehr zweifelhaft

Zudem stößt ein solches Key Escrow auf gravierende Sicherheitsbedenken, die zudem im Widerspruch zu manch anderer Diskussion um IT-Sicherheit stehen. So wird z. B. beim Aufbau des 5G-Netzes der Ausschluss ausländischer Technologielieferanten mit der (soweit ersichtlich bisher unbelegten) Behauptung gefordert, diese würden über eingebaute Hintertüren die Kommunikation abhören oder dies feindlichen Nachrichtendiensten ermöglichen. Nun soll aber andererseits der Einbau genau solcher Hintertüren zur Pflicht erhoben werden. Dass derartige Hintertüren nicht nur vom Staat, sondern auch von Dritten genutzt werden könnten, wird sich kaum mit Sicherheit ausschließen lassen. Eine Kompromittierung des Generalschlüssels würde die Kommunikation einem unabsehbaren Risiko aussetzen. Nicht zuletzt deshalb werden in der IT-Sicherheit heute regelmäßig mehrere Sicherheitsfaktoren miteinander kombiniert, damit der Bruch eines einzigen Faktors noch nicht zur (vollständigen) Unterminierung der Sicherheit führen kann. Dazu setzt sich der Vorschlag des Rates in Widerspruch. Eine rechtsstaatlich konforme Umsetzung der geplanten Strategie dürfte daher sehr fraglich sein.