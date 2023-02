Mit dem "Kidѕ Online Safety Act" (KOSA) steht in den USA ein weiteres Gesetz kurz vor dem Start, das der deutschen wie der britischen Chatkontrolle in weiten Teilen verdächtig ähnlich sieht. "KOSA kam ja in der letzten Senatsperiode nicht mehr auf die Tagesordnung. Wir erwarten aber, dass es in dieser Periode bald ein großes Thema wird", erklärte die Electronic Frontier Foundation (EFF) auf Anfrage von heise online dazu.

KOSA stellt alle Sozialen Netzwerke, Messenger-Services, Video-Streamingdienste, aber auch Lernplattformen und dazu sämtliche Online-Services, die auch von Kindern genützt werden, unter permanente Überwachungspflicht durch die jeweiligen Provider. Dieser Gesetzesentwurf trägt also dieselben totalitären Züge wie die EU-Chatkontrolle und ihr britisches Pendant. Wie in Europa sollen auch in den USA statt Polizeibehörden Zivilisten, nämlich nicht näher definierte "qualifizierte Forscher", mit den Vorermittlungen betraut werden.

In einem zentralen Punkt weicht die aktuelle US-Version allerdings von den Gesetzesentwürfen in der EU und Großbritannien ab. KOSA enthält eine klare Ausnahmeregelung für Ende-zu-Ende verschlüsselte beziehungsweise vom Provider nicht gespeicherte Chats. In der EU sind Ausnahmen derzeit überhaupt kein Thema, der Ministerrat arbeitet vielmehr an einer weiteren Verschärfung der generellen Überwachungspflicht.

Diese Passage befindet sich in einem Unterpunkt von "Pflichten und Rechte der betroffenen Plattformen, im Abschnitt "Einspruchsrecht". Im Text des Kids Online Safety Act sind das die Seiten 55 und 56.

Einspruchsgründe, denen stattgegeben wird

Gleich der erste Einspruchsgrund, dem der "Assistant Secretary" auch stattgeben muss, betrifft Daten, die auf der Plattform des Providers entweder nicht vorhanden oder "zur Vorlage nicht geeignet sind". Das heißt, wenn eine Plattform wie etwa Signal Chats grundsätzlich nicht speichert, hat sie ein Entschlagungsrecht bei Durchsuchungsanordnungen. Dasselbe gilt, wenn die Daten "nicht zur Vorlage geeignet" sind, damit sind wohl gespeicherte, aber E2E-verschlüsselte Chats gemeint. Das hat KOSA nämlich mit den europäischen Gesetzesentwürfen schon gemein, dass der Begriff "Verschlüsselung" so weit wie möglich ausgespart wird. Bei KOSA kommt der Begriff nicht einmal vor.

Ein zweiter Unterpunkt enthält noch weitere Entschlagungsgründe. Die betreffende Plattform kann auch dann ablehnen, wenn die Privatsphäre der Benutzer oder die generelle Sicherheit der Plattform durch eine Herausgabe der Daten gefährdet wird. Damit sind Nach- oder Generalschlüssel der Provider gemeint, die in die E2E-Chats der Benutzer eingeschmuggelt werden müssten, um die Chats überhaupt durchsuchen zu können.

Diese Ausnahmeregelung entspricht eins zu eins der bisherigen Argumentation von WhatsApp und allen anderen E2E-Anbietern, nämlich dass eine solche Durchsuchungspflicht die Online-Sicherheit aller Benutzer weltweit gefährden würde. Der zuständige Assistent Secretary" ist übrigens der stellvertretende Staatssekretär im US-Handelsministerium (Department of Commerce).

Eingebracht wurde der Kids Online Safety Act Ende Februar 2022 vom demokratischen Senator Richard Blumenthal und mehreren seiner Senatskollegen aus beiden Parteien.

Die erste Version der US-Chatkontrolle 2020

KOSA liegt damit zeitlich in etwa gleichauf mit der EU-Chatkontrolle, ist aber deutlich später dran als die britische Online Safety Bill. Ende Juli hatte KOSA bereits den Handelsausschuss des Senats passiert, Ende Dezember wurde das Vorhaben dann zur Abstimmung im Senat eingereicht. Da die Legislaturperiode bereits am Ende stand, wurde die Behandlung im Senatsplenum auf die neue Periode verschoben.

Wie das mit den Absprachen unter den "Five-Eyes"-Staaten und dem direkten Vorgehen gegen E2E in Europa zusammenpasst, ist schnell erklärt. KOSA ist nämlich längst nicht der erste Anlauf in den USA, um letztendlich Behörden direkten Zugang zu den Plattformen zu verschaffen. Derselbe Senator Richard Blumenthal hatte bereits im Februar 2020 unter dem martialischen Titel Zur Eliminierung rücksichtsloser und missbräuchlicher Vernachlässigung interaktiver Technologien (EARN IT Act) ein Kinderschutzgesetz miteingebracht, das von rechtlichen Bedrohungen für die Plattformen nur so strotzte.

Bei allen vier Anläufen für den EARN IT Act im US-Senat war Senator Blumenthalals Unterstützer mit dabei. Eingebracht wurden die Entwürfe abwechselnd von der Demokratin Sylvia Garcia (Texas) und dem republikanischen Wortführer im Senat, Lindsey Graham.

"Viermal gestorben" im Senatsausschuss

Nicht ganz überraschend war auch damals der Begriff "Verschlüsselung" im Text nicht enthalten, der Entwurf drohte aber allen Providern, die den Durchsuchungsbefehlen – egal aus welchen Gründen – nicht nachkommen (können), mit drakonischen Strafen und dem Verlust der Haftungsfreiheit. Im EARN IT Act brauchte es dazu ebenfalls keine Strafverfolger, die Durchsuchungsaufträge sollten vielmehr von einem ominösen "Komitee" kommen, wie auch die künftigen "Best Practices". Und die bestanden in einer permanenten Durchsuchungspflicht.

Der EARN IT Act wurde dem Handelsausschuss im Februar 2020 zweimal hintereinander vorgelegt, verabschiedet wurde er dort allerdings nicht. Im Februar 2022 wurde derselbe Entwurf wieder aus der Schublade geholt und das Geschehen wiederholte sich, die Wikipedia vermerkt zu jedem dieser Anläufe lakonisch: im Ausschuss gestorben. KOSA hatte denselben Ausschuss im Juli 2022 hingegen anstandslos passiert.

Das lange Warten auf Rechtssicherheit in den USA

Dass gerade der ganz auf Wirtschaftsfragen fokussierte Handelsauschuss diese Gesetzesvorlage, die dem ursprünglichen Vorhaben der Spionageallianz "Five Eyes" voll und ganz entsprochen hatte, viermal hintereinander abgeschmettert hat, lässt auf wirtschaftliche Gründe schließen. Von WhatsApp bis zu Apple, sind praktisch alle größeren Anbieter von E2E-verschlüsseltem Messaging und Chats Unternehmen aus den USA. Signal ist zwar eine Stiftung, aber ebenso aus den USA, Wickr ist eine Tochterfirma von Amazon und Meta bietet inzwischen auch E2E im Facebook Messenger an.

Es sieht so aus, als hätten die Internetkonzerne mit dem Roll-Out von sicherer Verschlüsselung nur gewartet, bis sich die rechtliche Situation in den USA einigermaßen geklärt hat.

Dass ein Quasi-Verbot von E2E also primär US-Unternehmen treffen würde, sollte der Hauptgrund für die Ablehnung im Handelsausschuss gewesen sein. Dazu kommt, dass auch die US-Militärs ein handfestes Interesse an sicherer Verschlüsselung haben, auch wenn es hier ausschließlich um zivile Netze geht. Die USA unterhalten von Djibouti bis Kirgistan weltweit mehr als 700 Militärstützpunkte, um die 150.000 US-Militärangehörige sind ständig im Ausland stationiert. Um diesen Soldaten auch aus tendenziell unfreundlichen IT-Umgebungen sichere Kommunikation mit ihren Angehörigen zu bieten, gehören die militärische Forschungsagentur DARPA und das US-Außenministerium seit jeher zu den Großsponsoren des TOR-Netzwerks.

Wie es in den USA und Europa weitergeht

Wann KOSA nun tatsächlich auf der Tagesordnung im Senatsplenum erscheinen wird, konnte auch die EFF nicht näher sagen, die an KOSA vor allem kritisiert, dass Jugendliche durch die darin enthalten Bestimmungen vollständig unter staatliche Gängelung und Kontrolle gestellt werden. Sehr wahrscheinlich kommt KOSA nicht allein zur Abstimmung, sondern zusammen mit zwei anderen Entwürfen in einem sogenannten "Omnibus-Paket". Diese beiden Gesetzesentwürfe fokussieren vor allem auf den Schutz der Privatsphäre von Kindern und Jugendlichen gegen Überwachung und Tracking durch die Marketingabteilungen der Internetkonzerne. E2E-Verschlüsselung ist dafür die weitaus wichtigste technische Element.

Wenn alle Kinderschutzgesetze diesseits und jenseits des Atlantik erst einmal unter Dach und Fach sind, wird beim derzeitigen Stand der Dinge zukünftig kein einziges europäisches IT-Unternehmen State of the Art"-gesicherte Kommunikation für ein großes Publikum anbieten können. Die USA können sich beruhigt zurücklehnen, die absolute Vorherrschaft der US-Konzerne wird damit wenigstens ein Jahrzehnt lang vollständig abgesichert sein.

