Trend Report: Denkt doch an die Kinder

Anonymität im Netz war gestern

Am 25. Juli trat in Großbritannien der sogenannte Online Safety Act in Kraft, der als wegweisendes Kinderschutzgesetz verkauft wurde. Online-Plattformen sind nun dazu verpflichtet, ihre Nutzer:innen, insbesondere Kinder, durch Maßnahmen wie Altersüberprüfungen vor illegalen und schädlichen Inhalten zu schützen. Das Problem liegt eher in der Umsetzung: denn die Altersüberprüfung erfordert die Bereitstellung eines amtlichen Ausweisdokuments, einer Kreditkarte oder biometrischen Daten in Form eines Fotos. Wer in Großbritannien nicht bereit ist, US-amerikanischen Tech-Monopolen seine persönlichen Daten anzuvertrauen, muss sich mit einer extrem beschränkten Version des Internets zufriedengeben. Denn was genau als schädlich oder gefährlich für Kinder eingestuft wird, steht auf einem anderen Blatt.

Neben der Zensur von Inhalten wie Spongebob-GIFs oder Spotify-Playlists fallen nämlich auch essenzielle Informationen wie Kriegsberichterstattung oder Gerichtsprotokolle dem neuen Kinderschutzgesetz zum Opfer. Neben unabhängigem Journalismus werden außerdem auch LGBTQ-Inhalte zensiert, Informationen zu reproduktiven Rechten, feministische Inhalte und alles, was irgendwie mit sozialer Gerechtigkeit zu tun hat oder die Regierung kritisiert.

Selbst Wikipedia sah sich gezwungen, rechtlich gegen das Gesetz vorzugehen, da es die Anonymität und Sicherheit ihrer freiwilligen Autor:innen bedroht sah. Zwar betonte das Gericht in seinem Urteil die Verantwortung der britischen Aufsichtsbehörde Ofcom und der Regierung, sicherzustellen, dass Wikipedia bei der Umsetzung des Online Safety Act geschützt wird. Abgewiesen hat es die Klage trotzdem.

Die vage Formulierung des Gesetzes sorgt währenddessen für einen “Better safe than sorry”-Ansatz bei Online-Plattformen, die aus Sorge vor drakonischen Geldstrafen in Höhe von mindestens 18 Millionen Pfund oder 10% des Jahresumsatzes sicherheitshalber alles einschränken und zensieren, was auch nur ansatzweise als nicht altersgerecht eingestuft werden könnte.

Wenig Kinderschutz – dafür neue Risiken

Die Konsequenz des neues Gesetzes scheint bisher allerdings nicht in verbessertem Kinderschutz zu bestehen – im Gegenteil: Anstatt Kinder und Jugendliche zu schützen, treiben die Maßnahmen sie vielmehr in vollständig unregulierte Bereiche des Internets, wo sie noch gefährlicheren Inhalten und größeren Datenschutzrisiken ausgesetzt sind. In Großbritannien ist derzeit eine massive Zunahme von VPN-Diensten zu verzeichnen, die dafür sorgen sollen, die Beschränkungen zu umgehen.

Eins bleibt festzuhalten: Was in Großbritannien passiert, ist kein Einzelfall, sondern Symptom eines globalen Trends, der sich in den USA schon großteils durchgesetzt hat und uns wohl bald auch in der EU bedroht.
Denn noch gefährlicher als eine problematische Gesetzgebung selbst ist das Verhalten von Tech-Konzernen wie Google, die bereits ohne gesetzlichen Zwang bereitwillig Überwachungsinstrumente einführen und so die perfekte Infrastruktur für eine fast nahtlose Überwachung aller Internetnutzer:innen schaffen.

Neues YouTube-Tool schätzt das Alter anhand von Nutzer:innendaten

So testet YouTube in den USA aktuell ein neues KI-Tool (was auch sonst) zur Altersverifizierung, welches in den kommenden Monaten auch flächendeckend eingeführt werden soll: die KI analysiert gesuchte Inhalte, angesehene Videokategorien oder das Alter des entsprechenden Accounts, um zu bestimmen, ob eine Nutzerin oder ein Nutzer älter als 18 Jahre ist. Wird man von der KI als minderjährig eingestuft, werden Schutzmaßnahmen wie die Deaktivierung personalisierter Werbung oder Sicherheitsvorkehrungen bei Empfehlungen automatisch durchgesetzt.

Wer von der KI fälschlicherweise als minderjährig eingestuft wird, muss einen amtlichen Ausweis oder eine Kreditkarte vorlegen, um von der Plattform wieder für alle Inhalte freigeschaltet zu werden. Auch hier: die Regeln, nach denen Inhalte dabei als altersgerecht eingeschätzt werden und welche nicht, sind undurchsichtig, und so sehen auch die Reaktionen auf das Tool entsprechend kritisch aus.

Es ist anzunehmen, dass die Einführung des entsprechenden Tools in der EU auf erheblichen Widerstand stoßen wird, ist es doch höchst fragwürdig, ob das Tool überhaupt mit der DSGVO konform geht: Laut DSGVO dürfen nämlich nur die Daten verarbeitet werden, die für einen Zweck zwingend erforderlich sind. Um das Alter zu schätzen, analysiert die KI jedoch umfassend das gesamte Nutzer:innenverhalten. Es ist sehr zweifelhaft, ob dies als „minimal“ angesehen werden kann, insbesondere wenn es datensparsamere Alternativen gäbe.

Überwachung als Geschäftsmodell

Der vorauseilende Gehorsam der Tech-Monopole ist kein gutes Zeichen fürs freie Internet, aber er war abzusehen: so hat beispielsweise Mark Zuckerberg mit der Abschaffung des Faktencheck-Programms auf Facebook bereits demonstriert, dass es keine Prinzipien gibt, die er für Donald Trumps Gunst nicht verraten würde. Und dass Peter Thiel und Alex Karp mit dem Allround-Surveillance-Tool Palantir in der Lage sind, jeden noch so wilden Überwachungswunsch der autokratischen US-Regierung unter Trump zu erfüllen, haben wir auch schon festgestellt. US-amerikanische Milliardäre und Donald Trump sind dem gleichen Lager zuzuordnen.

Die neuen Regelungen schaffen aber nicht nur Zensur, sondern auch einen lukrativen Markt für Überwachungstechnologien. Zudem öffnen sich neue ökonomische Nischen für Altersverifizierungsdienste, die persönliche Daten sammeln. Währenddessen warnen Datenschützer:innen, dass die zentralen Datenbanken, die durch diese Praktiken entstehen, wahre Honigtöpfe für Hacker seien und die Gefahr von Identitätsdiebstahl massiv erhöhen.

Wie sicher sind wir in der EU?

Auch wenn die EU (noch) einen datenschutzfreundlicheren Weg bei der Altersverifikation anstrebt, sind wir vor ähnlichen Entwicklungen und weiteren Datenschutzproblemen nicht automatisch geschützt. In Deutschland ist die rechtliche Grundlage für einen DSGVO-konformen Datentransfer in die USA ohnehin sehr fragil, insbesondere nachdem Trump die drei demokratischen Mitglieder des Privacy and Civil Liberties Oversight Board, kurz PCLOB, entlassen und dieses damit vollständig handlungsunfähig gemacht hat.

Aber von vorn: Das unabhängige Aufsichtsgremium wurde 2007 zur Überwachung von Datenschutz und bürgerlichen Freiheiten im Kontext der Terrorismusbekämpfung und im Rahmen des “Implementing Recommendations of the 9/11 Commission Act” ins Leben gerufen. 2022 wies Ex-Präsident Joe Biden dem Gremium dann eine zentrale Rolle bei der Beaufsichtigung des transatlantischen Datenschutzabkommens zu – mittels Executive Order. Das PCLOB nimmt damit die Rolle des einzigen relevanten Aufsichtselements des transatlantischen Datenschutzabkommens ein. Eben dieses zwischen der EU und den USA geschlossene Abkommen, genannt Data Privacy Framework, erhält seine rechtliche Gültigkeit und Anerkennung von der EU-Kommission in Form eines Angemessenheitsbeschlusses. Dieser soll gewährleisten, dass personenbezogene Daten auch in den USA auf einem mit europäischen Standard vergleichbaren Schutzniveau verarbeitet werden.

Bereits zwei dieser Beschlüsse wurden vom Europäischen Gerichtshof gekippt mit der Begründung, dass EU-Bürger:innen keinen ausreichenden Rechtsschutz gegen die Überwachung durch US-Nachrichtendienste genießen und das Datenschutzniveau in den USA nicht den europäischen Standards entspricht. 2023 trat dann das Data Privacy Framework in Kraft und das transatlantische Datenschutzabkommen schien erst einmal gesichert.

Bereits zur Einführung stand das DPF jedoch unter massiver Kritik, kann doch die Executive Order, auf der es beruht, jederzeit von nachfolgenden Regierungen widerrufen werden. Und mit der Demontage des PCLOBs steht nun nicht nur das aktuelle Abkommen, sondern auch alle künftigen auf tönernen Füßen. Sollte es scheitern, müssen in der EU ansässige Unternehmen, Behörden, Schulen und Organisation die Nutzung US-amerikanischer Cloud-Dienste umgehend einstellen – eine wirtschaftliche Katastrophe, aber auch ein starkes Argument für mehr digitale Souveränität innerhalb der EU und weniger Abhängigkeit von US-amerikanischer digitaler Infrastruktur. 

Denn je abhängiger wir sind, desto höher ist das Risiko der Überwachung. Dass unsere aktuelle Regierung diese Bedrohung nicht zu erkennen scheint, sondern sich mit dem Versuch einer bundesweiten Implementierung der Überwachungssoftware Palantir erst recht an US-amerikanische Datenriesen anbiedert, bietet wenig Grund für Zuversicht. Datenschutz ist also auch in der Europäischen Union schon lange nicht mehr selbstverständlich, und wenn es nach bestimmten Leuten ginge, wären wir bereits alle vollständig gläserne Bürger:innen.

Verpflichtende Chatkontrolle in der EU

Das zeigt auch die wiederaufflammende Debatte um die verpflichtende Chatkontrolle, die der dänischen EU-Ratspräsidentschaft vorgeschlagen wurde. Dabei sollen Internet-Dienste die Chats ihrer User auf Verdacht durchsuchen können, was im Grunde das Ende der Ende-zu-Ende-Verschlüsselung bedeuten würde. Glücklicherweise wird darüber noch gestritten, und die Position der deutschen Regierung fällt aktuell noch in die Kategorie Wackelkandidat. Dass die Stimmen, die den Gedanken der Massenüberwachung durch Palantir gut finden, sich bei der Frage um die Chatkontrolle plötzlich um das Recht auf Privatsphäre scheren, ist jedenfalls zweifelhaft.

Aber es geht ja um die Sicherheit. Und man denke doch an die Kinder.