EU "Menschenrechts-Gerichtshof" verbietet Schwächung sicherer Ende-zu-Ende-Verschlüsselung

ParagraphDer Europäischer Gerichtshof für Menschenrechte (European Court of Human Rights, hier Menschenrechtsgerichtshof genannt) in Straßburg hat am 13. Februar 2024 ein Urteil "Podchasov v. Russia" gefällt. Es ging um den Zugang staatlicher Stellen zu verschlüsselter Kommunikation. Das Urteil verbietet eine generelle Schwächung sicherer Ende-zu-Ende-Verschlüsselung, weil sie uns alle schützt. Damit dürfte Chatkontrolle, wie von der EU angestrebt, gestorben sein.


Anzeige

Ich kann das Thema noch nicht wirklich durchdringen, weil die juristische Fragestellung nicht mein Fachgebiet ist. Patrik Breyer, Europa-Abgeordneter der Piraten hat es aber in nachfolgendem Tweet aufgegriffen.

Der Europäischer Menschenrechtsgerichtshof hat im Urteil vom 13. Februar 2024 die generelle Schwächung sicherer Ende-zu-Ende-Verschlüsselung verboten, weil diese demokratische Gesellschaften schützt. Das Urteil ist hier in Englisch nachlesbar. Die entscheidende Passage ab 76 ff. ((γ) Gesetzliche Verpflichtung zur Entschlüsselung der Kommunikation) lautet:

(γ) Statutory requirement to decrypt communications

76. Lastly, as regards the requirement to submit to the security services information necessary to decrypt electronic communications if they are encrypted, the Court observes that international bodies have argued that encryption provides strong technical safeguards against unlawful access to the content of communications and has therefore been widely used as a means of protecting the right to respect for private life and for the privacy of correspondence online. In the digital age, technical solutions for securing and protecting the privacy of electronic communications, including measures for encryption, contribute to ensuring the enjoyment of other fundamental rights, such as freedom of expression (see paragraphs 28 and 34 above). Encryption, moreover, appears to help citizens and businesses to defend themselves against abuses of information technologies, such as hacking, identity and personal data theft, fraud and the improper disclosure of confidential information. This should be given due consideration when assessing measures which may weaken encryption.

77. As noted above (see paragraph 57 above), it appears that in order to enable decryption of communications protected by end-to-end encryption, such as communications through Telegram's "secret chats", it would be necessary to weaken encryption for all users. These measures allegedly cannot be limited to specific individuals and would affect everyone indiscriminately, including individuals who pose no threat to a legitimate government interest. Weakening encryption by creating backdoors would apparently make it technically possible to perform routine, general and indiscriminate surveillance of personal electronic communications. Backdoors may also be exploited by criminal networks and would seriously compromise the security of all users' electronic communications. The Court takes note of the dangers of restricting encryption described by many experts in the field (see, in particular, paragraphs 28 and 34 above).

78. The Court accepts that encryption can also be used by criminals, which may complicate criminal investigations (see Yüksel Yalçınkaya v. Türkiye [GC], no. 15669/20, § 312, 26 September 2023). However, it takes note in this connection of the calls for alternative "solutions to decryption without weakening the protective mechanisms, both in legislation and through continuous technical evolution" (see, on the possibilities of alternative methods of investigation, the Joint Statement by Europol and the European Union Agency for Cybersecurity, cited in paragraph 33 above, and paragraph 24 of the Report on the right to privacy in the digital age by the Office of the United Nations High Commissioner for Human Rights, cited in paragraph 28 above; see also the explanation by third-party interveners in paragraph 47 above).

79. The Court concludes that in the present case the ICO's statutory obligation to decrypt end-to-end encrypted communications risks amounting to a requirement that providers of such services weaken the encryption mechanism for all users; it is accordingly not proportionate to the legitimate aims pursued.

(δ) Conclusion

80. The Court concludes from the foregoing that the contested legislation providing for the retention of all Internet communications of all users, the security services' direct access to the data stored without adequate safeguards against abuse and the requirement to decrypt encrypted communications, as applied to end-to-end encrypted communications, cannot be regarded as necessary in a democratic society. In so far as this legislation permits the public authorities to have access, on a generalised basis and without sufficient safeguards, to the content of electronic communications, it impairs the very essence of the right to respect for private life under Article 8 of the Convention. The respondent State has therefore overstepped any acceptable margin of appreciation in this regard.

81. There has accordingly been a violation of Article 8 of the Convention.

In Deutsch: "Was schließlich das Erfordernis betrifft, den Sicherheitsdiensten die Informationen zu übermitteln, die für die Entschlüsselung der elektronischen Kommunikation erforderlich sind, wenn diese verschlüsselt ist, stellt der Gerichtshof fest, dass internationale Gremien argumentiert haben, dass die Verschlüsselung starke technische Garantien gegen den unrechtmäßigen Zugriff auf den Inhalt der Kommunikation bietet und daher weithin als Mittel zum Schutz des Rechts auf Achtung des Privatlebens und des Briefgeheimnisses im Internet eingesetzt wurde. Im digitalen Zeitalter tragen technische Lösungen zur Sicherung und zum Schutz der Privatsphäre in der elektronischen Kommunikation, einschließlich Verschlüsselungsmaßnahmen, dazu bei, die Wahrnehmung anderer Grundrechte, wie das Recht auf freie Meinungsäußerung, zu gewährleisten (siehe Ziffern 28 und 34 oben). Darüber hinaus scheint die Verschlüsselung Bürgern und Unternehmen dabei zu helfen, sich gegen den Missbrauch von Informationstechnologien wie Hacking, Diebstahl von Identitäts- und personenbezogenen Daten, Betrug und die unzulässige Weitergabe vertraulicher Informationen zu schützen. Dies sollte bei der Beurteilung von Maßnahmen, die die Verschlüsselung schwächen könnten, gebührend berücksichtigt werden.

Der Gerichtshof räumt ein, dass Verschlüsselung auch von Kriminellen genutzt werden kann, was strafrechtliche Ermittlungen erschweren kann. Er nimmt jedoch in diesem Zusammenhang die Forderungen nach alternativen "Lösungen für die Entschlüsselung ohne Schwächung der Schutzmechanismen, sowohl in der Gesetzgebung als auch durch ständige technische Weiterentwicklung" zur Kenntnis.

Das Gericht kommt zu dem Ergebnis, dass die gesetzliche Verpflichtung des ICO zur Entschlüsselung von Ende-zu-Ende-verschlüsselter Kommunikation im vorliegenden Fall darauf hinauszulaufen droht, dass die Anbieter solcher Dienste den Verschlüsselungsmechanismus für alle Nutzer schwächen müssen; sie steht daher nicht in einem angemessenen Verhältnis zu den verfolgten legitimen Zielen.

Der Gerichtshof kommt daher zu dem Schluss, dass die angefochtene Regelung, die die Vorratsspeicherung der gesamten Internetkommunikation aller Nutzer, den unmittelbaren Zugriff der Sicherheitsdienste auf die gespeicherten Daten ohne angemessene Schutzvorkehrungen gegen Missbrauch und das Erfordernis der Entschlüsselung der verschlüsselten Kommunikation vorsieht, wie es für die Ende-zu-Ende-verschlüsselte Kommunikation gilt, in einer demokratischen Gesellschaft nicht als notwendig angesehen werden kann. Soweit diese Gesetzgebung den Behörden einen allgemeinen und unzureichend abgesicherten Zugriff auf den Inhalt der elektronischen Kommunikation ermöglicht, beeinträchtigt sie den Kern des Rechts auf Achtung des Privatlebens nach Artikel 8 der Konvention. Der beklagte Staat hat daher jeden akzeptablen Ermessensspielraum in dieser Hinsicht überschritten. Es liegt daher eine Verletzung von Artikel 8 der Konvention vor.

Damit ist, laut Patrick Beyer, die von der EU-Kommission zur Chatkontrolle geforderte "client-side scanning"-Überwachung auf allen Smartphones illegal. Die EU-Regierungen müssen die Zerstörung sicherer Verschlüsselung jetzt endlich aus den Chatkontrolle 2.0-Plänen streichen – genauso wie die flächendeckende Überwachung Unverdächtiger.


Anzeige

Ergänzung: Patrick Breyer hat zum 14. Februar 2024 das Thema in seinem Beitrag Europäischer Menschenrechtsgerichtshof verbietet Schwächung sicherer Ende-zu-Ende-Verschlüsselung – das Aus für die Chatkontrolle? aufbereitet.

Auch Datenschutzaktivist Lukasz Olejnik greift es in diesem Tweet auf. Auch heise hat diesen Artikel mit einigen Hintergrundinformationen publiziert.

Patrick hat mich noch auf einen Beitrag über einen Referentenentwurf zur Verschlüsselung bei ComputerBase hingewiesen. Fachleute sehen den Entwurf aber als "weiße Salbe" bzw. PR-Stunt.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu EU "Menschenrechts-Gerichtshof" verbietet Schwächung sicherer Ende-zu-Ende-Verschlüsselung

  1. Andy sagt:

    Ich befürchte, dass der Schluss, dass das das Ende der Chatkontrolle sei, etwas voreilig ist.
    In der deutschen und europäischen Politik-Logik zu Sicherheitsthemen scheint der Grundkonsenz zu sein: Wir sind die Guten und deshalb dürfen wir das.
    Entsprechend vermute ich, dass der Passus

    "Soweit diese Gesetzgebung den Behörden einen allgemeinen und unzureichend abgesicherten Zugriff auf den Inhalt der elektronischen Kommunikation ermöglicht, beeinträchtigt sie den Kern des Rechts auf Achtung des Privatlebens nach Artikel 8 der Konvention."

    für Europa als nicht zutreffend betrachtet wird, weil der Zugriff der Behörde bei uns in Europa im politischen Eigenverständnis "nicht allgemein genug" und nicht ausreichend "unzureichend abgesichert" ist.
    Die Vorratsdatenspeicherung wird ja nicht umsonst wieder und wieder bei uns gekippt. Die Politik vertritt halt immer die Meinung, ihre Grundrechtseingriffe seien konkret und eng genug gefasst und alles ist total sicher.
    Sorry für die Negativität, aber wer immer wieder Urteile nicht verstehen will und es in seiner Arroganz sogar schafft, ein "Supergrundrecht Sicherheit" herbeizuhalluzinieren, das dann den Behörden das Aufweichen und Aufheben von Grundrechten ermöglichen soll, obwohl Grundrechte genau die gegenteilige Wirkungsrichtung haben, dem traue ich nicht ausreichend Einsichtigkeit für ein Umlenken nur wegen eines Urteils zu. Schon gar nicht, wenn das nicht gegen "die Guten", sondern die definiert "Bösen" ergeht.

    • Singlethreaded sagt:

      Zumal ein neues Gesetz erstmal einige Jahre zur Anwendung kommt, bevor es dann irgendwann in der letzten Instanz rechtskräftig und endgültig gekippt wird.
      Bzgl. der Datenübermittlung in die USA hatten wir Safe Habor (kassiert), dann Privacy Shield (kassiert) und jetzt Data Privacy Framework. Wird vielleicht auch wieder kassiert?
      Man könnte den Eindruck gewinnen, dass der Umstand ein möglicherweise nicht gerichtsfestes Regelwerk zu erlassen bewusst in Kauf genommen wird, um die aktuelle Praxis auf Zeit weiter zu legitimieren.
      Diese Gefahr sehe ich auch durchaus im Zusammenhang mit E2E.

  2. Luzifer sagt:

    War doch bisher bei allen "Schnüffelgesetzen" so, die wurden einkassiert also bringt man sie leicht abgeändert wieder, solange bis der Widerstand gebrochen ist.

    Würden Politiker welche Gesetze vertreten welche von einem Gericht einkassiert werden des Amtes enthoben sähe das ganz anders aus. Wir haben aber sogar Poitiker "deren" Gesetze als Staats/Demokratiefeindlich einkassiert wurden (nein AFD ist da nicht involviert) und weiterhin im Amt sind. Das muss man sich mal auf der Zunge zergehen lassen: da sitzen also Staats/Demokratiefeinde in der Regierung… und der Mob regt sich über die AFD auf … lol die braucht es gar nicht wenn die Feinde direkt regieren!

  3. McAlex777 sagt:

    Sehr, wirklich schön – Danke an die EU.
    Langsam sieht man das die EU die tragweite solcher Themen wirklich sehr genau sieht.
    Das zeigt das wir unsere Gerichte nicht hoch genug Wertschätzen können.

    Schade nur das wir die Gerichte in unseren Demokratien ständig brauchen um Amok laufenden Politikern einhalt zu gewähren.

    Ich würde jedem, dem der Datenschutz wirklich wichtig ist empfehlen bei einem aktiven DatenschutzVerein regelmäßig zu spenden. Allein schon um bei dem ungleichgewicht gegenüber Politik und Überwachungsorganisationen ausreichend mediale Aufmerksamkeit sowie rechtliche Gegenwehr zu ermöglich. Beispiele:

    https://digitalcourage.de
    https://edri.org

  4. Erwin Wecker sagt:

    Etwas zynisch formuliert:

    Wie soll mann denn ohne Zugriff auf End-to-End-Verschlüsselung "Unsere Demokratie (TM)" schützen?

  5. Martin B sagt:

    eigentlich es ja fast egal, wenn wesentliche Daten bei M365, T-Online, GMX oder web.de liegen. Da kann man einfach mitlesen.

    Bei Telgram lief wohl eine Zeit lang einiges über Proxies und da wurde mitgelesen (nur bei den mobilen Apps, nicht dem Desktop Client und daher fiel es auch auf).

    Wer Sendungsbewusstein hat, postet ohnehin auf X und dem anderen Quatsch , d.h. das ist alles öffentlich.

    Was nutzt auch end-to-end Verschlüsselung, wenn Nancy Faeser nun ihr Demokratieförderungsgeschütz voran bringt? Es ist ein Abbild von DDR Methoden,

    Deine Nachbarn werden Dir von den Lippen ablesen, es ist nur ein weiterer Baustein zu den bestehenden Meldeportalen, es ist also in Wirklichkeit eine Denunziationsförderungsmaßnahme. Da braucht es keine Verachlüsselung, wenn der Nachbar sich zum Diesel bekennt und E-Autos ablehnt, das wird gemeldet, aber so was von.

  6. Daniel A. sagt:

    Das Urteil finde ich gut und richtig. Allerdings befürchte ich, dass es sowohl unserer Innenministerin (und auch deren Nachfolgern) sowie der EU-Kommission (speziell unter der Führung von Zensursula) relativ egal sein wird. Dann wird erst mal wieder was auf den Weg gebracht und eingeführt, es muss erst wieder jemand sich bis vor den EUGH klagen, damit die das dann wieder kippen. Das dauert ein paar Jahre, in denen man wunderbar Daten sammeln kann.

    Und dann wundern sich die Politiker darüber, dass viele Leute so politikverdrossen sind und entweder gar nicht wählen oder Parteien, die man eigentlich nicht an der Macht haben möchte (und die es vermutlich auch schlimmer als besser machen würden).

    Es wäre echt hilfreich, wenn Politiker, die solche Gesetze erstellen und durchpeitschen wollen (mehrfach, die Sache ist ja nicht neu) auch dafür zur Verantwortung gezogen werden würden, wenn es von den Verfassungsgerichten kassiert wird. Aber das wird nicht passieren.

  7. mw sagt:

    Im Prinzip ist das das Ende der Chatkontrolle. Eine zenzursula wird das aber nicht bremsen. Noch nie hat sich die Politik um das Urteil eines Gerichts geschert, siehe Voratsdatenspeicherung. Solange das Missachten von Gerichtsurteilen für die Politik nicht unter wirksamen Strafen (Haft) steht, wird sich daran auch nichts ändern. Im allgemeinen Rechtsschwenk und der Kriegsvorbereitung ist daran aber nicht zu denken. Letzendlich ist jeder für seine Sicherheit und Privatsphäre dann doch selbst verantwortlich und muß eben entsprechende Plattformen meiden.

    • Bernd B. sagt:

      Nein, das war ein Urteil gegen Russland, nicht gegen die EU.

      Ich höre sie schon 'argumentieren': »Auf die EU ist das Urteil nicht anwendbar denn unsereDemokratie™ ist eine Rechtsstaatliche!!elf!«.

  8. Erwin Wecker sagt:

    Echte Demokratie ist gefährlich für "Unsere Demokratie (TM)". "Unsere Demokratie (TM)" muss wehrhaft sein.

    Digitale ID, Digitaler Euro, sind die denn gemäß Menschenrechtsgerichtshof im Interesse des Schutzes der Menschenrechte?

    Ich habe Zweifel … solltet ihr auch haben.

    • Hobbyperte sagt:

      Sollte jeder mal drüber Nachdenken, warum "unsere Demokraten" so überhaupt gar nicht auf Ferdinand von Schierach's Petition reagieren. Er schlägt vor die Charta der Grundrechte der Europäischen Union um weitere Grundrechte zu erweitern. Gleich der zweite Artikel betrifft direkt das Thema Kommunikations-Verschlüsselung:

      Artikel 2 – Digitale Selbstbestimmung

      Jeder Mensch hat das Recht auf digitale Selbstbestimmung. Die Ausforschung oder Manipulation von Menschen ist verboten.

      Und der Vierte wäre auch wichtig, wenn man an Leute wie Trump denkt … wobei man ja auch weiß, das die "etablierte Politik" schon immer das Lügen perfektioniert hat, hierzulande nennt man es u.a. "Wahlversprechen" … diese zu brechen ist bekanntlich eher der Normalzustand.

      Artikel 4 – Wahrheit

      Jeder Mensch hat das Recht, dass Äußerungen von Amtsträgern der Wahrheit entsprechen.

      https://action.wemove.eu/sign/202103-fur_neue_grundrechte_in_europa-petition-DE

      Mit der ausdrücklichen Bitte um Weiterverbreitung des Web-Links

  9. Legostein sagt:

    Ein EU Menschenrechtsgerichtshof besteht nicht.

    Der EuGH (Europäischer Gerichtshof) mit dem Sitz in Luxenburg ist das oberste Rechtsprechungsorgan der EU. Die hier in Rede stehende Entscheidung wurde aber nicht von diesem Gericht getroffen. Vielmehr hat der Europäische Gerichtshof für Menschenrechte mit dem Sitz in Strassburg entschieden. Dieses Gericht ist ein von der Europäischen Menschenrechtskonvention (MRK) eingerichtetes Organ.
    Die EU ist übrigens der MRK nicht beigetreten. Alleine aus diesem Grund betrifft das Urteil die EU nicht, wohl aber – über den Anlassfall aus Russland hinausgehend – die Mitgliedstaaten der MRK; einige davon sind freilich auch Mitglieder der EU.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.