Heute veröffentlichen Mailfence und andere datenschutzorientierte Unternehmen ihren Offenen Brief zum Vorschlag für eine Verordnung über sexuellen Kindesmissbrauch (CSA).
Nachstehend finden Sie den von Tuta initiierten gemeinsamen Brief, den Mailfence und andere datenschutzorientierte Unternehmen mitunterzeichnet haben.
Offener Brief an die EU-Mitgliedstaaten zur vorgeschlagenen CSA-Verordnung
“Sehr geehrte Innen-, Justiz- und Wirtschaftsminister der EU-Mitgliedstaaten,
Wir schreiben Ihnen als kleine und mittlere Unternehmen und Organisationen aus Europa, die über den Vorschlag für eine Verordnung über sexuellen Kindesmissbrauch (CSA) besorgt sind. Gemeinsam fordern wir Sie auf, dafür zu sorgen, dass die Position Ihres Landes in dieser Angelegenheit so nah wie möglich an die des Europäischen Parlaments (EP) herangeführt wird. Wir sind uns alle einig, dass die Gewährleistung der Sicherheit von Kindern im Internet eine der wichtigsten Pflichten von Technologieunternehmen ist, und aus diesem Grund finden wir die von der Europäischen Kommission vorgeschlagene Verordnung äußerst beunruhigend.
Wenn sie in der vorgeschlagenen Form umgesetzt wird, würde sie sich negativ auf die Privatsphäre und die Sicherheit von Kindern im Internet auswirken und gleichzeitig dramatische, unvorhersehbare Folgen für die Cybersicherheitslandschaft in der EU haben, ganz abgesehen davon, dass sie einen ineffektiven Verwaltungsaufwand verursachen würde1*
Das Europäische Parlament hat vor kurzem seinen Standpunkt zu dem Gesetzentwurf angenommen und eingeräumt, dass Scantechnologien nicht mit dem Ziel einer vertraulichen und sicheren Kommunikation vereinbar sind. Die entscheidenden Änderungen, die es daher vorschlägt, spiegeln die Meinung des Europäischen Datenschutzbeauftragten (EDSB), der juristischen Dienste des Rates sowie zahlreicher Experten für Kryptographie und Cybersicherheit wider**.
Sie spiegelt auch die Meinung von 63 % bis 69 % der Unternehmen, Behörden, Nichtregierungsorganisationen und Bürger wider, die von der Europäischen Kommission in ihrer Folgenabschätzung*** befragt wurden.
Als kleine und mittlere Technologieunternehmen und -organisationen teilen wir ihre Bedenken, da wir wissen, dass die Suche nach bestimmten Inhalten – wie Text, Fotos und Videos – in einer Ende- zu-Ende-verschlüsselten Kommunikation die Implementierung einer Hintertür oder einer ähnlichen Technologie namens “clientseitiges Scannen” erfordern würde. Selbst wenn dieser Mechanismus zur Bekämpfung der Online-Kriminalität geschaffen wird, würde er auch schnell von Kriminellen selbst genutzt werden und Bürger und Unternehmen online einem größeren Risiko aussetzen, da er für alle Nutzer gleichermaßen Schwachstellen schafft.”
Datenschutz ist ein starker Wettbewerbsvorteil
Als Technologieunternehmen, die in der Europäischen Union tätig sind, haben wir Produkte und Dienstleistungen im Einklang mit dem strengen Datenschutzrahmen der EU entwickelt, der nach wie vor als Beispiel und Inspiration für die ganze Welt dient. Die Datenschutz-Grundverordnung ermöglichte die Gründung ethischer, datenschutzfreundlicher Technologieunternehmen in Europa, die andernfalls nie in der Lage gewesen wären, mit Big Tech zu konkurrieren. Sie verschaffte europäischen Unternehmen einen starken internationalen Wettbewerbsvorteil in diesem Bereich und ermöglichte es den Verbrauchern, endlich Alternativen zu amerikanischen und chinesischen Diensten zu finden.
Unsere Nutzer innerhalb und außerhalb der EU haben Vertrauen in unser Engagement für den Schutz ihrer Daten gewonnen, und dieses Vertrauen ist ein wichtiger Faktor für unsere Wettbewerbsfähigkeit.
Die Lernkurve für die Anpassung an den notwendigen Verwaltungsaufwand, den die DSGVO mit sich bringt, war hoch, aber sie war es wert. Die CSA-Verordnung könnte jedoch dieses Alleinstellungsmerkmal europäischer IT-Unternehmen bedrohen und würde zudem einen neuen Verwaltungsaufwand mit sich bringen, von dem wir befürchten, dass er sowohl unsere Unternehmen als auch die Strafverfolgungsbehörden überfordern könnte. In Anbetracht des Volumens der Kommunikation und der Inhalte, die durch unsere Dienste fließen, würde selbst eine unbedeutende Fehlerquote der Technologien, die für die Suche nach missbräuchlichem Material eingesetzt werden, zu Millionen von Falschmeldungen führen, die jeden Tag manuell überprüft werden müssten.
Die CSA-Verordnung könnte das Vertrauen und die Sicherheit im Internet untergraben
In einer Welt, in der Datenschutzverletzungen und -skandale immer häufiger vorkommen, ist der Ruf der EU für strengen Datenschutz ein Alleinstellungsmerkmal für Unternehmen, die innerhalb ihrer Grenzen tätig sind. Er verschafft uns einen Wettbewerbsvorteil, denn er gibt unseren Kunden die Gewissheit, dass ihre Daten mit äußerster Sorgfalt und Integrität behandelt werden.
Wenn dieses Vertrauen einmal untergraben ist, lässt es sich nur schwer wiederherstellen, und jede Maßnahme, die es gefährdet, wie z. B. das obligatorische Scannen oder die obligatorische Altersüberprüfung, kann großen und kleinen Unternehmen schaden.
Darüber hinaus hat die EU vor kurzem die Verordnung 2023/2841 erlassen, die den EU-Organen und -Einrichtungen vorschreibt, bei ihren Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit die Verwendung von Ende-zu-Ende-Verschlüsselung zu berücksichtigen. Außerdem liegen derzeit mehrere “Cyber”-Vorschläge der EU auf dem Tisch, wie der Cyber Resilience Act und der Cybersecurity Act. Die Unterstützung eines gegenteiligen Ansatzes für die CSA-Verordnung würde den EU-Rahmen für Cybersicherheit nur untergraben und ein widersprüchliches, inkohärentes und ineffizientes neues Maßnahmenbündel schaffen, das Unternehmen nicht durchsetzen könnten, ohne Bürger und Unternehmen zu gefährden.
Der Vorschlag des EU-Parlaments geht in die richtige Richtung
Wir begrüßen daher die entschlossene Haltung des Europäischen Parlaments bei der Verteidigun des Rechts der europäischen Bürger auf Privatsphäre und sichere Kommunikation. Das Bekenntnis des Europäischen Parlaments zu diesen Grundsätzen ist nicht nur ein Beweis für sein Engagemen für die Menschenrechte, sondern auch ein Hoffnungsschimmer für Unternehmen wie das unsere, denen Datenschutz und Sicherheit am Herzen liegen.
Die Position des Parlaments beinhaltet Alternativen zum Scannen, die minimale Auswirkungen auf die Cybersicherheit und den Datenschutz haben und die nach Ansicht von Experten sowohl effektiver als auch effizienter wären als das obligatorische Scannen.
Ein solcher Paradigmenwechsel würde bedeuten, die falsche Dichotomie zwischen Privatsphäre und Sicherheit zu überwinden und gleichzeitig dafür zu sorgen, dass der Vorschlag den Grundsatz der Verhältnismäßigkeit beachtet, wie vom Ausschuss für Regulierungskontrolle gefordert. Auch wenn die Änderungen, die das Europäische Parlament in seinem Standpunkt vorgenommen hat, in unseren Augen nicht perfekt sind, stellen sie doch einen guten Kompromiss dar, um die digitale Sicherheit und Vertraulichkeit zu wahren und Kinder im Internet besser zu schützen. Wir glauben, dass diese Änderungen das richtige Gleichgewicht zwischen dem Schutz von Kindern und der Wahrung der Privatsphäre und der Cybersicherheit herstellen.
Als Vertreter der dynamischen europäischen Kleinunternehmen fordern wir die EU-Mitgliedstaaten auf, sich weiterhin für die Werte des Schutzes der Privatsphäre, der Cybersicherheit und des Datenschutzes einzusetzen. Diese Grundsätze stehen nicht nur im Einklang mit dem Engagement der EU für die Menschenrechte, sondern dienen auch als Grundlage für ein florierendes und wettbewerbsfähiges Geschäftsumfeld. Lassen Sie uns diese Grundsätze verteidigen und stärken und dafür sorgen, dass die EU auf dem globalen Markt ein Verfechter des Datenschutzes bleibt.
Aus diesen Gründen appellieren wir an Sie:
- Sorgen Sie dafür, dass der Standpunkt des Rates so weit wie möglich an den des
Europäischen Parlaments angeglichen wird. Dies wird eine schnellere Verabschiedung
der Verordnung ermöglichen und gleichzeitig auf der wichtigen Arbeit des
Europäischen Parlaments aufbauen. - Beibehaltung des hohen Niveaus der Grundrechte – und insbesondere des
Datenschutzes, die die Bürger in der Europäischen Union genießen. - Unternehmen wie uns nicht zu zwingen, im Auftrag von Strafverfolgungsbehörden eine
Massenüberwachung privater Korrespondenz durchzuführen. - Gewährleistung eines hohen Niveaus an Cybersicherheit in der EU durch den Schutz
der Ende-zu-Ende-Verschlüsselung und die Aufnahme der notwendigen
Schutzmaßnahmen in den Text. Insbesondere clientseitiges Scannen und Hintertüren
sollten nicht vorgeschrieben werden. - Wahrung des Briefgeheimnisses.
- Minimierung des Verwaltungsaufwands des Vorschlags durch effektivere und
effizientere Alternativen zum massenhaften Scanning.”
Unterzeichnet
Blacknight Solutions (Ireland)
E Foundation (France)
Element (United Kingdom)
Logilab (France)
Mail.de GmbH (Germany)
Mailfence (Belgium)
Matrix Foundation (United Kingdom)
Murena (France)
Nextcloud (Germany)
Olvid (France)
Open-Xchange (Germany)
Proton (Switzerland)
Renvis (Greece) Surfshark
(Lithuania)
TelemetryDeck (Germany)
Threema (Switzerland)
Tresorit (Switzerland)
Tuta (Germany)
Wirtschaftsverbände und Unterstützer
ACT | The App Association
Cyberstorm
Defend Democracy
Encryption Europe
Gate 15
ISOC-CAT
Myntex
Privacy & Access Council of Canada
Quilibrium
SecureCrypt
Studio Legale Fabiano
*Eine ausführliche Zusammenfassung des Vorschlags, der von der NRO EDRi ausgearbeitet wurde, finden Sie hier
**Weitere Informationen finden Sie in ihrer Erklärung vom Juli 2023
***Siehe insbesondere Seite 134 der Folgenabschätzung
