Die Auswirkungen des Cloud Act auf Nutzer von Cloud Services
Lisa Figas. Marketing Manager bei Boxcryptor
Lisa Figas | Marketing Manager
@meet_lisa
Friday, December 4, 2020

Der EARN IT Act der USA – Vertrauen soll verdient sein

Zusammenfassung: Unter dem Vorwand, Kinder zu schützen soll in den USA der Überwachungsstaat ausgebaut werden. Mittels einem neuen Gesetz, dem EARN IT Act, sollten Unternehmen dazu gezwungen werden, Ende-zu-Ende-Verschlüsselung abzuschaffen. Das Druckmittel: Internetangebote sollen künftig für die Inhalte ihrer Anwender und Anwenderinnen haften. Dieses Gesetz liegt nun in einer neuen Fassung vor. Doch Grund zur Entwarnung gibt es nicht.

Eine Video-Version dieses Artikels können Sie hier ansehen:

Zum Schutz Ihrer persönlichen Daten (Datenschutz) wird die Verbindung zu YouTube nicht ohne Ihre Zustimmung hergestellt. Durch Klicken auf den Play Button akzeptieren Sie die Cookies, die für die Wiedergabe des Videos von YouTube erforderlich sind. Lesen Sie mehr in unserer Datenschutzerklärung oder öffnen Sie die Cookie-Einstellungen.

Was ist der EARN IT Act?

Vier Senatoren und Senatorinnen aus dem US-Senat stehen federführend hinter dem Gesetzesentwurf, der kurz EARN IT Act genannt wird. Das ist die Abkürzung für Eliminating Abusive and Rampant Neglect of Interactive Technologies Act. Frei übersetzt geht es darum, „misshandelnde und zügellose Vernachlässigung“ zu unterbinden, die auf Basis interaktiver Technologien geschieht. Um es einmal deutlich zu sagen: Das offizielle Ziel des EARN IT Act ist die Entfernung von Missbrauchsdarstellungen von Minderjährigen im Netz.

Das Gesetz wurde heftig dafür kritisiert, Ende-zu-Ende-Verschlüsselung abzuschaffen – eine Auswirkung, die nie offiziell im Gesetz stand, jedoch die einzige Möglichkeit für Unternehmen gewesen wäre, die Vorgaben des Gesetzes umzusetzen. Der betreffende Passus wurde noch kurz vor der Verabschiedung im Senat geändert.

Derzeit nutzen die meisten IT-Unternehmen Verschlüsselung, um die Inhalte und Passwörter ihrer Nutzer und Nutzerinnen vor unbefugtem Zugriff zu schützen. Je nach Grad der Verschlüsselung kann auch das IT-Unternehmen selbst die Informationen nicht mehr entschlüsseln – sprich lesbar machen. Die Senatoren und Senatorinnen Graham, Hawley, Blumenthal und Feinstein wollen Unternehmen dazu zwingen, starke Verschlüsselung abzuschaffen und/oder Hintertüren in ihre Software einzubauen. Dazu verwenden Sie den Hebel des Haftungsrechtes.

Der Haftungsausschluss für Unternehmen soll – laut der ursprünglichen Version des EARN IT Act – nur dann bestehen bleiben, wenn die Unternehmen es technisch möglich machen, alle hochgeladenen, gespeicherten oder versendeten Dateien zu durchsuchen. So sollten illegale Dateien ausfindig gemacht werden. Schließlich – so die Argumentation der vier Senatoren und Senatorinnen – sei die Durchsuchung aller Dateien der einzige Weg um Pädophilen, die online Fotos von Missbrauchsdarstellungen teilen, das Handwerk zu legen.

Eine einflussreiche Lobby aus besorgten Eltern und selbsternannten Kinderschützern hat sich also online und offline daran gemacht, breite Zustimmung für den EARN IT Act zu sichern.

Gegner des Gesetzes haben hingegen einen schweren Stand: Wer sich gegen den EARN IT Act stellt, steht automatisch auf der Seite von Pädophilen – so zumindest stellen es die Befürworter des neuen Gesetzes dar.

Welche Auswirkungen hätte der EARN IT Act?

Sektion 230 des Communications Decency Act schützt Internetplattformen davor, für Inhalte verklagt zu werden, die deren Nutzer und Nutzerinnen hochladen. Das ist eine rechtliche Besonderheit in den USA, auf der sich (unter anderem) der enorme Erfolg US-amerikanischer Internetangebote begründet.

Der EARN IT Act soll den Communications Decency Act durch den Einsatz von Druckmitteln weiter schwächen. So soll die Aufrechterhaltung des Haftungsausschlusses an Bedingungen geknüpft werden. Der Plan ist, dass Unternehmen sich den Schutz vor Klagen, die sich auf die Darstellung von Kindesmisshandlung beziehen, verdienen müssen.

Wie genau sie sich dieses Recht verdienen müssen, stand aber nicht im Gesetzesentwurf. Dort wurde für die Ausgestaltung eine Kommission vorgesehen, welche die Kriterien nach der Verabschiedung des Gesetzes erarbeiten sollte – ein sehr umstrittener Aspekt des EARN IT Act.

Patrick Leahys Änderungsantrag und das „moderator’s dilemma“

Nach einem Änderungsantrag von Senator Patrick Leahy ist in der aktuellen Version des EARN IT Act diese Kommission nun nicht mehr vorgesehen. Außerdem soll der Einsatz von Ende-zu-Ende-Verschlüsselung nun ausdrücklich nicht mehr zum Verlust des Haftungsausschlusses führen. Leahy hoffte, mit seinem Vorschlag mehr Zustimmung für das Gesetz zu erhalten.

Der Plan ging allerdings nicht auf. Der Änderungsantrag wurde zwar vom Justizausschuss bewilligt, doch Grund zum Aufatmen gibt es nicht. Das Gesetz ist nun wesentlich komplizierter geworden und sorgt für noch mehr Kontroversen.

Zum einen verschiebt die neue Variante des EARN IT Act die Ausgestaltung des EARN IT Act von der umstrittenen Kommission auf die einzelnen Bundesstaaten. Und diese sind bekanntermaßen sehr verschieden. Kalifornien beispielsweise, hat mit dem California Consumer Privacy Act CCPA, bereits sehr strenge Datenschutz-Regulierungen und weicht damit deutlich von den anderen Bundesstaaten ab. So verstärkt der EARN IT Act eine rechtliche Diversifizierung in einem Bereich, der praktisch gesehen keine Grenzen kennt, denn der Datenverkehr innerhalb der USA ist bisher nicht reguliert.

Zum anderen könnte die Erlaubnis, weiterhin Ende-zu-Ende-Verschlüsselung zu verwenden ohne, dass der Schutz durch Section 230 gefährdet wird, dazu führen, dass die Unternehmen noch mehr verschlüsseln als bisher. Das würde ganz klar an der Zielsetzung des Gesetzes vorbeigehen und dürfte unter den Abgeordneten zu noch mehr Unstimmigkeiten führen. Wer nicht verschlüsselt müsste hingegen wesentlich mehr Daten über seine Nutzer und Nutzerinnen erheben um die Strafverfolgung zu ermöglichen. So entstehen Datenbanken mit personenbezogenen Daten, die ohne den EARN IT Act nicht existieren würden.

Der EARN IT Act und der Überwachungsstaat

Der EARN IT Act setzt den Rahmen dafür, dass künftig Privatpersonen und Strafverfolgungsbehörden direkt die Plattformen verklagen können, wenn dadurch Verbrechen gegen Kinder belangt werden. Die Anbieter der Internetplattformen wollen dieses Risiko verständlicherweise minimieren. Das Druckmittel würde mit großer Sicherheit funktionieren. Man geht davon aus, dass die Anbieter den Behörden deshalb Zugriff auf Nutzerkonten und Inhalte gewähren werden.

Kommt dieses Gesetz durch, so wäre das aus Sicht der Bürgerrechte fatal und würde den Überwachungsstaat weiter ausbauen. Verschiedene Organisationen kämpfen deshalb gegen den EARN IT Act. Eine der bekanntesten Gruppen, ist die Electronic Frontier Foundation (EFF). Sie konzentriert sich darauf, nachzuweisen, dass das neue Gesetz gegen den ersten Verfassungszusatz verstößt: Protect our Speech and Security Online

Der erste Verfassungszusatz:

Der Kongress soll kein Gesetz erlassen, das eine Einrichtung einer Religion zum Gegenstand hat oder deren freie Ausübung beschränkt, oder eines, das Rede- und Pressefreiheit oder das Recht des Volkes, sich friedlich zu versammeln und an die Regierung eine Petition zur Abstellung von Missständen zu richten, einschränkt.

Ein Beispiel: Das Durchsuchen von Foto-Datenbanken zur Gesichtserkennung ist ein mächtiges Instrument der Massenüberwachung. Ende-zu-Ende-Verschlüsselung schützt die Bevölkerung davor. Bereits jetzt durchsuchen viele Internetanbieter hochgeladene Inhalte auf Basis von bekannten Hashes auf Missbrauchsdarstellungen. Es ist allerdings nicht möglich, Ende-zu-Ende verschlüsselte Inhalte nach diesen Mustern zu durchsuchen ohne die Verschlüsselung aufzuweichen. Das ist ein bekanntes Problem. Der EARN IT Act verlangt von den Betreibern nun genau diese Aufweichung.

Mathew Green, Kryptograph und Professor an der John’s Hopkins Universität, fasst die Situation in seinem Statement so zusammen: „It’s the kind of bill you’d come up with if you knew the thing you wanted to do was unconstitutional and highly unpopular, and you basically didn’t care.“

Mit großer medialer Aufmerksamkeit wurde kürzlich der Krypto-Messenger Signal bedacht. Am 8. April 2020 gab das Unternehmen bekannt, sich aus dem US-amerikanischen Markt zurückzuziehen, sollte der EARN IT Act in Kraft treten. Es gilt abzuwarten, welche weiteren Unternehmen sich in den nächsten Monaten so deutlich positionieren werden.

In welchem Stadium des Gesetzgebungsverfahren befinden wir uns?

Stand: November 2020

Bisher fanden Anhörungen zum EARN IT Act im Komitee statt. Uns liegen keine Informationen darüber vor, wann mit einer Verabschiedung durch den Senat und das Repräsentantenhaus zu rechnen ist. Den aktuellen Status des Gesetzgebungsverfahrens kann man hier verfolgen: S. 3398 – EARN IT Act of 2020. Jedoch sind das Gesetzgebungsverfahren und die Praxis der Rechtsauslegung in den USA anders als in Deutschland. US-Gerichte orientieren sich am sogenannten common law, dem Gewohnheitsrecht. Sie können mit ihrer Rechtsprechung auch die Gesetzgebung beeinflussen. Das führt dazu, dass der EARN IT Act bereits Wirkung zeigen könnte, obwohl das Gesetz noch nicht verabschiedet wurde.

Nach der Wahl des neuen Präsidenten im November 2020 steht Senator Lindsey Graham im Verdacht, Wahlmanipulation betrieben zu haben und sieht sich mit Rücktrittsforderungen konfrontiert. Was mit dem EARN IT Act geschieht, wenn der wichtigste Sponsor des Gesetzes ausfällt ist fraglich.

Statement der Boxcryptor-Gründer Andrea Pfundmeier und Robert Freudenreich

Bild von Andrea Pfundmeier und Robert Freudenreich, den Gründern der Firma Secomba GmbH, den Machern der Cloud-Verschlüsselungslösung Boxcryptor.

Mit Boxcryptor haben wir uns dem wirksamen Schutz von Informationen verschrieben. Private Informationen und Geschäftsgeheimnisse zu schützen ist das, was uns jeden Tag für die Arbeit an unserer Verschlüsselungssoftware motiviert. Unsere Software wird von Journalisten und Journalistinnen, Parteien, Unternehmen mit unterschiedlichsten Geschäftsfeldern, Betrieben der kritischen Infrastruktur, Forschungseinrichtungen, Schulen und vielen Privatpersonen genutzt. Die Möglichkeit, Nachrichten und Dateien all dieser Menschen zu verschlüsseln und somit vor den neugierigen Augen Dritter zu schützen, ist für uns elementare Voraussetzung für eine freiheitliche Gesellschaft. Jedem Ansatz, das Recht auf freie Meinungsäußerung zu beschränken, muss entschieden entgegengewirkt werden.

Sie suchen einen Cloud-Provider, der nicht an den EARN IT Act gebunden ist?

Wir haben die bekanntesten deutschen Cloud-Provider verglichen und stellen Ihnen eine Übersicht über Leistungen und Datenschutz zur Verfügung.

Cloud-Speicher – Made in Germany
Beitrag teilen