Ende-zu-Ende-Verschlüsselung ist ein Grundrecht, das in demokratischen Gesellschaften nicht präventiv von Regierungen aufgebrochen werden darf, so der Europäische Gerichtshof für Menschenrechte (EGMR). In "Podchasov v. Russland" befindet das Gericht, dass verschlüsselte Kommunikation ein unter der Europäischen Menschenrechtskonvention besonders geschütztes Rechtsgut ist. Es ist zu erwarten, dass das Urteil einen gewissen Einfluss auf die von der EU-Kommission geplante Chatkontrolle haben wird.
Um die Tragweite des Falls Podchasov v. Russland zu verstehen, müssen wir kurz skizzieren, wie digitale Kommunikation eigentlich funktioniert. Oft ist hierbei die Rede von einer "E2E"- oder "Ende-zu-Ende"-Verschlüsselung. Einige Messenger sind per default auf diese Weise verschlüsselt, andere, darunter der im Kontext des Urteils relevante Messenger Telegram, bieten optionale E2E-Verschlüsselung.
Eine Nachricht über einen nicht E2E-verschlüsselten Kanal zu versenden ist vergleichbar damit, eine Postkarte zu versenden. Sämtliche Personen und Maschinen, die irgendwie damit zu tun haben, Ihre Postkarte zuzustellen, können Ihre Nachricht lesen. Was dabei im analogen Raum die Sortiermaschinen und Postbot*innen sind, sind im digitalen Raum die Internetanbieter (die Ihre Nachrichten sortieren) und Messengerdienste (die Ihre Nachrichten zustellen). Eine E2E-verschlüsselte Nachricht hingegen ist halbwegs vergleichbar mit einem individuell versiegelten Brief. Der Inhalt wird noch auf dem sendenden Gerät mit einem Key verschlüsselt, den ausschließlich das empfangende Gerät kennt. Es ist somit einzig und allein dem empfangenden Gerät möglich, den eingehenden Zahlensalat zu dekodieren.
Der Kläger, Anton Valeryevich Podchasov, rief den EGMR an, nachdem er in Russland erfolglos bis vor das dortige Verfassungsgericht gezogen war, um sich gegen ein weitreichendes Überwachungsgesetz zu verteidigen. Der Inlandsgeheimdienst FSB verlangte basierend auf russischer Antiterrorgesetzgebung vom Messengerdienst Telegram die Herausgabe des Schlüssels für Podchasovs Kommunikation. Telegram weigerte sich, die Anordnung des FSB zu befolgen. Die Firma argumentierte, die Forderung sei rein technisch unmöglich zu befolgen, denn: Nicht einmal die Plattform selbst, nur Podchasovs Gerät, kennt diesen Schlüssel. Eine entsprechende Hintertür hätte dem Geheimdienst ermöglicht, nicht nur die Nachrichten etwaiger Verdächtiger zu lesen, sondern die von sämtlichen Telegram-Nutzer*innen. Mit diesem Argument klagte sich Podchasov erfolglos durch alle russischen Instanzen, um schlussendlich beim Europäischen Gerichtshof für Menschenrechte zu landen.
Der EGMR begründet seine Entscheidung wie folgt:
"Das Gericht kommt daher zu dem Ergebnis, dass die angefochtene Regelung, die (...) das Erfordernis der Entschlüsselung verschlüsselter Kommunikation vorsieht, wie sie auf Ende-zu-Ende-verschlüsselte Kommunikation angewandt wird, in einer demokratischen Gesellschaft nicht als notwendig erachtet werden kann. Soweit diese Regelung den Behörden ganz allgemein und ohne ausreichende Schutzmaßnahmen den Zugang zum Inhalt der elektronischen Kommunikation ermöglicht, beeinträchtigt sie den Kern des Rechts auf Achtung der Privatsphäre nach Artikel 8 [der Europäischen Menschenrechtskonvention]".
Die fehlenden "ausreichende [n] Schutzmaßnahmen", von denen das Gericht spricht, sind dabei der erste von zwei Aspekten von außerordentlicher Bedeutung. Wenn sich Regierungen Hintertüren in die Messenger einbauen lassen, dann heißt das nicht, dass diese nur staatlichen Gewalten offen stehen, im Gegenteil. Diese Hintertüren stehen der ganzen Welt offen. Sobald der FSB – oder Europol, das nimmt sich nichts – einen Seiteneingang hat, hat ihn auch die organisierte Kriminalität. Und das hat nichts mit etwaigen Kompetenzproblemen der Geheim- und Sicherheitsdienste zu tun, sondern ist technisch unumgänglich.
Der zweite Aspekt geht weit über den Aufbruch von Verschlüsselungsmethoden hinaus und bezieht sich auf andere weitreichende Überwachungsbefugnisse des FSB, die früheren deutschen Vorratsdatenspeicherungsgesetzen nicht gänzlich unähnlich sind. So heißt es im Urteil:
"Die angefochtene Regelung schreibt die kontinuierliche automatische Speicherung des Inhalts aller Internetkommunikationen für die Dauer von sechs Monaten und der zugehörigen Kommunikationsdaten für die Dauer von einem Jahr vor. Sie gilt für alle internetbasierten Kommunikationsdienste, die zur Übermittlung von Sprach-, Text-, Bild-, Ton-, Video- oder sonstigen elektronischen Nachrichten genutzt werden. Sie betrifft alle User von internetbasierten Kommunikationsdiensten, auch wenn kein begründeter Verdacht auf Kriminalität oder eine Gefährdung der nationalen Sicherheit besteht oder andere Gründe für die Annahme vorliegen, dass die Vorratsspeicherung von Daten zur Bekämpfung schwerer Straftaten oder zum Schutz der nationalen Sicherheit beitragen kann."
Ein "grandioses Grundsatzurteil"
Der EGMR nimmt hier also eine Position ein, die zivile Organisationen, die für digitale Menschenrechte streiten, bereits seit Jahren vertreten und der sich auch der Juristische Dienst des EU-Rats angeschlossen hat: Es ist nicht verhältnismäßig, die Kommunikation aller Bürger*innen eines Landes zu speichern und zu durchleuchten, nur weil einige dieser Menschen Schwerkriminelle sein mögen. Es ist nicht verhältnismäßig, allen die Nutzung privater digitaler Kommunikationsmedien zu untersagen, nur weil einige diese Privatsphäre für Straftaten nutzen. Nichts anderes ist die Einführung einer Chatkontrolle: Das Verbot privater Kommunikation. Entsprechend freut sich auch der langjährige EU-Abgeordnete der Piratenpartei, Patrick Breyer, über das "grandiose Grundsatzurteil", demzufolge die Pläne der EU-Kommission nun "eindeutig illegal" seien.
Die grundlegende Fehlkonzeption, die auch im Vorhaben der EU-Kommission mitschwingt, ist, dass wir Ende-zu-Ende-Verschlüsselung als eine Option betrachten und nicht als den Standard. Es muss klar sein, dass nicht verschlüsselte Kommunikation niemals private Kommunikation im analogen Sinne des Wortes sein kann. Auch E2E ist dabei nicht der Weisheit letzter Schluss, aber immerhin doch ein praktikables Fundament.
In einer Zeit, in der immer mehr private zwischenmenschliche Interaktionen über das Medium des Internets stattfinden, müssen wir unsere Konzeption von "Privatsphäre" diesem Wandel anpassen. Es ist erfreulich, dass das Urteil des EGMR dieser Veränderung nicht nur Rechnung trägt, sondern sie explizit als ein der Entscheidung zugrunde liegendes Argument anführt. Dass forensische Methoden, Staatstrojaner und groß angelegte Ermittlungsaktionen wie Operation Eureka teurer und aufwändiger sind als anlasslose Überwachung per Hintertür begrüßt das Gericht ausdrücklich, da somit ein Anreiz für Strafverfolungsbehörden und Geheimdienste geschaffen wird, grundrechtsschonende Maßnahmen zu bevorzugen.