Möglichst noch vor der nächsten Europawahl plant die EU, die CSAM-Verordnung (Child Sexual Abuse Material) an den Start zu bringen. Der populäre Name „Chatkontrolle“ trifft gleich den Nagel auf den Kopf. Denn eigentlich will die EU Anbieter von Messenger-Diensten bis hin zu E-Mails zu verpflichten, Fotos, Videos und andere Inhalte, die darin verschickt oder hochgeladen werden, automatisch auf Darstellungen von Kindesmissbrauch zu durchsuchen und mögliche strafbare Fälle an die Ermittlungsbehörden zu melden. In der Theorie ohne Frage ein Ziel, gegen das man nichts sagen kann.
In Europa wie in den USA scannen Facebook, Google und viele andere bereits heute die Inhalte ihrer User auf Anhaltspunkte von Kindesmissbrauch und melden dies den Strafverfolgungsbehörden. Innerhalb der EU erlaubt dies eine Ausnahmeregelung für telefonnummern-unabhängige Dienste wie Internet-Sprachtelefonie, Messenger und E-Mail, die aber im August 2024 ausläuft. Strafverfolger, die auf die Tipps der Plattformen angewiesen sind, wollen diese wichtige Informationsquelle nicht verlieren und drängen deswegen auf eine rasche Nachfolgeregelung.
Der Entwurf der EU-Kommission zur CSAM-Verordnung sieht vor, dass Internetdienstleister auch nummerngebundene und Ende-zu-Ende verschlüsselte Kommunikation durchleuchten sollen – solche Inhalte werden momentan nicht gescannt. Wie Ende-zu-Ende-verschlüsselte Kommunikation gescannt werden soll, ohne das gesamte Prinzip dahinter zu durchbrechen, darauf hat die Kommission wohl auch noch keine Antwort: So wird nur von „modernster Technologie“ gesprochen, die die Privatsphäre der Nutzer so wenig wie möglich beeinträchtigen soll.
Experten gehen davon aus, dass Client-Side-Scanning zum Einsatz kommen soll, wo Inhalte noch vor der Verschlüsselung, also noch auf dem Gerät des Users, auf Kindesmissbrauchsdarstellungen gecheckt werden – Forschende warnen vor Spionage und dem Missbrauch der Technologie durch autoritäre Regime zur Verfolgung von Kritikern. Alle Scanning-Technologien, die auf absehbare Zeit existieren, seien zudem „mit schweren Mängeln behaftet“ – sie sind nicht nur ineffektiv, sondern könnten auch noch Nebeneffekte haben, die das Internet und die digitale Gesellschaft weniger sicher für alle machen könnten.
Die EU-Kommission hat drei Kategorien ausgemacht, wie Missbrauch aufgespürt werden soll: erstens soll die Verbreitung von Fotos und Videos, die den Behörden bereits bekannt sind, gemeldet werden; zweitens sollen die Systeme noch nicht bekannte Fotos und Videos von Kindesmissbrauch erkennen können; und drittens soll sogenanntes Cybergrooming, d.h. wenn sich Erwachsene Kindern in Chats mit sexuellen Absichten annähern, identifiziert werden.
Doch für Punkt zwei und drei wird die KI Schätzungen zufolge erst in 10 bis 20 Jahren ausgereift genug sein – Experten befürchten auf dem Stand der aktuellen Technik zahlreiche Fehlalarme, die schwerwiegende persönliche Folgen für Menschen hätten, welche unschuldig unter behördlichen Verdacht geraten. Auch Punkt 1 sei schwieriger, als viele denken, denn wenn der Staat der KI einfach bekannte Bilder zum automatischen Abgleich vorlegen würde, würde er ja selbst verbotene Inhalte vertreiben. (Allerdings verschicken auch z.B. Polizisten entsprechendes Material „auf dem kurzen Dienstweg“ gelegentlich per WhatsApp – deswegen wird auch über mögliche Ausnahmen bei der Chatkontrolle nachgedacht.)
Die KI würde statt des eigentlichen Bildes sogenannte Hash-Werte verwenden. Diese können aus einem bestimmten Bild eindeutig berechnet werden und aus ihnen sich wiederum das Bild nicht zurückberechnen – also nicht wiederherstellen. Wenn nun ein anderes Bild den exakt gleichen Hash-Wert aufweist, dann handelt es sich – in der Theorie – um das gleiche, also verbotene, Bild. Aber: Wird das Bild auch nur minimal verändert, verändert sich auch der Hash-Wert und kann so nicht mehr zugeordnet werden; das eigentlich bekannte Missbrauchsbild würde beim Abgleich unerkannt bleiben.
Der Gesetzesentwurf weckt also sowohl Zweifel an der technischen Machbarkeit als auch an der Grundrechtskonformität, was ihn schon seit Monaten zum Dauerbrenner, zumindest unter Fachleuten, macht; zuletzt zu der Frage: Wie sollen eigentlich Audio-Nachrichten kontrolliert werden? Auch darüber gehen die Meinungen weit auseinander. Die deutsche Regierung hat sich auch hier nur schwer auf eine Position einigen können: Letztlich will sich Deutschland zwar gegen Client-Side-Scanning einsetzen, aber nicht gegen „allgemeine Überwachungspflichten, Maßnahmen zum Scannen privater Kommunikation und eine Identifizierungspflicht“ – obwohl dies im Koalitionsvertrag anders vereinbart war…