Die Auswirkungen des Cloud Act auf Nutzer von Cloud Services
Lisa

Lisa Figas | Marketing Manager

@meet_lisa

Der EARN IT Act der USA – Vertrauen soll verdient sein

Unter dem Vorwand, Kinder zu schützen soll in den USA der Überwachungsstaat ausgebaut werden. Mittels einem neuen Gesetz, dem EARN IT Act, sollen Unternehmen dazu gezwungen werden, Ende-zu-Ende-Verschlüsselung abzuschaffen. Das Druckmittel: Internetangebote sollen künftig für die Inhalte ihrer Anwenderinnen und Anwender haften. Das Gesetz hatte aufgrund des Regierungswechsels in den USA geruht. Nun wurde der Entwurf wieder aus der Schublade geholt.

Eine Video-Version dieses Artikels können Sie hier ansehen:

https://youtu.be/yn0kNspdKMg

Was ist der EARN IT Act?

Vier Senatoren und Senatorinnen aus dem US-Senat stehen federführend hinter dem Gesetzesentwurf, der kurz EARN IT Act genannt wird. Das ist die Abkürzung für Eliminating Abusive and Rampant Neglect of Interactive Technologies Act. Frei übersetzt geht es darum, „misshandelnde und zügellose Vernachlässigung“ zu unterbinden, die auf Basis interaktiver Technologien geschieht. Um es einmal deutlich zu sagen: Das offizielle Ziel des EARN IT Act ist die Entfernung von Missbrauchsdarstellungen von Minderjährigen im Netz.

Das Gesetz wurde heftig dafür kritisiert, Ende-zu-Ende-Verschlüsselung abzuschaffen – eine Auswirkung, die nie offiziell im Text stand, jedoch die einzige Möglichkeit für Unternehmen gewesen wäre, die Vorgaben des Gesetzes umzusetzen.

Derzeit nutzen die meisten IT-Unternehmen Verschlüsselung, um die Inhalte und Passwörter ihrer Nutzerinnen und Nutzer vor unbefugtem Zugriff zu schützen. Je nach Grad der Verschlüsselung kann auch das IT-Unternehmen selbst die Informationen nicht mehr entschlüsseln – sprich lesbar machen. Die Senatoren und Senatorinnen Graham, Hawley, Blumenthal und Feinstein wollen Unternehmen dazu zwingen, starke Verschlüsselung abzuschaffen und/oder Hintertüren in ihre Software einzubauen. Dazu verwenden Sie den Hebel des Haftungsrechtes.

Der Haftungsausschluss für Unternehmen soll nur dann bestehen bleiben, wenn die Unternehmen es technisch möglich machen, alle hochgeladenen, gespeicherten oder versendeten Dateien zu durchsuchen. So sollten illegale Dateien ausfindig gemacht werden. Schließlich – so die Argumentation der vier Senatoren und Senatorinnen – sei die Durchsuchung aller Dateien der einzige Weg um Pädophilen, die online Fotos von Missbrauchsdarstellungen teilen, das Handwerk zu legen.

Eine einflussreiche Lobby aus besorgten Eltern und selbsternannten Kinderschützern hat sich also online und offline daran gemacht, breite Zustimmung für den EARN IT Act zu sichern.

Gegner des Gesetzes haben hingegen einen schweren Stand: Wer sich gegen den EARN IT Act stellt, steht automatisch auf der Seite von Pädophilen – so zumindest stellen es die Befürworter des neuen Gesetzes dar.

Welche Auswirkungen hätte der EARN IT Act?

Sektion 230 des Communications Decency Act schützt Internetplattformen davor, für Inhalte verklagt zu werden, die deren Nutzerinnen und Nutzer hochladen. Das ist eine rechtliche Besonderheit in den USA, auf der sich (unter anderem) der enorme Erfolg US-amerikanischer Internetangebote begründet.

Der EARN IT Act soll den Communications Decency Act durch den Einsatz von Druckmitteln weiter schwächen. So soll die Aufrechterhaltung des Haftungsausschlusses an Bedingungen geknüpft werden. Der Plan ist, dass Unternehmen sich den Schutz vor Klagen, die sich auf die Darstellung von Kindesmisshandlung beziehen, verdienen müssen.

Wie genau sie sich dieses Recht verdienen müssen, stand aber nicht im Gesetzesentwurf. Dort wurde für die Ausgestaltung eine Kommission vorgesehen, welche die Kriterien nach der Verabschiedung des Gesetzes erarbeiten sollte – ein sehr umstrittener Aspekt des EARN IT Act.

Patrick Leahys Änderungsantrag und das „moderator’s dilemma“

Nach einem Änderungsantrag von Senator Patrick Leahy ist in der aktuellen Version des EARN IT Act diese Kommission nun nicht mehr vorgesehen. Außerdem soll der Einsatz von Ende-zu-Ende-Verschlüsselung nun ausdrücklich nicht mehr zum Verlust des Haftungsausschlusses führen. Leahy hoffte, mit seinem Vorschlag mehr Zustimmung für das Gesetz zu erhalten.

Der Plan ging allerdings nicht auf. Der Änderungsantrag wurde zwar vom Justizausschuss bewilligt, doch Grund zum Aufatmen gibt es nicht. Das Gesetz ist nun wesentlich komplizierter geworden und sorgt für noch mehr Kontroversen.

Zum einen verschiebt die neue Variante des EARN IT Act die Ausgestaltung des EARN IT Act von der umstrittenen Kommission auf die einzelnen Bundesstaaten. Und diese sind bekanntermaßen sehr verschieden. Kalifornien beispielsweise, hat mit dem California Consumer Privacy Act CCPA, bereits sehr strenge Datenschutz-Regulierungen und weicht damit deutlich von den anderen Bundesstaaten ab. So verstärkt der EARN IT Act eine rechtliche Diversifizierung in einem Bereich, der praktisch gesehen keine Grenzen kennt, denn der Datenverkehr innerhalb der USA ist bisher nicht reguliert.

Zum anderen könnte die Erlaubnis, weiterhin Ende-zu-Ende-Verschlüsselung zu verwenden ohne, dass der Schutz durch Section 230 gefährdet wird, dazu führen, dass die Unternehmen noch mehr verschlüsseln als bisher. Das würde ganz klar an der Zielsetzung des Gesetzes vorbeigehen und dürfte unter den Abgeordneten zu noch mehr Unstimmigkeiten führen. Wer nicht verschlüsselt müsste hingegen wesentlich mehr Daten über seine Nutzerinnen und Nutzer erheben, um die Strafverfolgung zu ermöglichen. So entstehen Datenbanken mit personenbezogenen Daten, die ohne den EARN IT Act nicht existieren würden.

Der EARN IT Act und der Überwachungsstaat

Der EARN IT Act setzt den Rahmen dafür, dass künftig Privatpersonen und Strafverfolgungsbehörden direkt die Plattformen verklagen können, wenn dadurch Verbrechen gegen Kinder belangt werden. Die Anbieter der Internetplattformen wollen dieses Risiko verständlicherweise minimieren. Das Druckmittel würde mit großer Sicherheit funktionieren. Man geht davon aus, dass die Anbieter den Behörden deshalb Zugriff auf Nutzerkonten und Inhalte gewähren werden.

Kommt dieses Gesetz durch, so wäre das aus Sicht der Bürgerrechte fatal und würde den Überwachungsstaat weiter ausbauen. Verschiedene Organisationen kämpfen deshalb gegen den EARN IT Act. Eine der bekanntesten Gruppen, ist die Electronic Frontier Foundation (EFF). Sie konzentriert sich darauf, nachzuweisen, dass das neue Gesetz gegen den ersten Verfassungszusatz verstößt: Protect our Speech and Security Online

Der erste Verfassungszusatz:

Der Kongress soll kein Gesetz erlassen, das eine Einrichtung einer Religion zum Gegenstand hat oder deren freie Ausübung beschränkt, oder eines, das Rede- und Pressefreiheit oder das Recht des Volkes, sich friedlich zu versammeln und an die Regierung eine Petition zur Abstellung von Missständen zu richten, einschränkt.

Ein Beispiel: Das Durchsuchen von Foto-Datenbanken zur Gesichtserkennung ist ein mächtiges Instrument der Massenüberwachung. Ende-zu-Ende-Verschlüsselung schützt die Bevölkerung davor. Bereits jetzt durchsuchen viele Internetanbieter hochgeladene Inhalte auf Basis von bekannten Hashes auf Missbrauchsdarstellungen. Es ist allerdings nicht möglich, Ende-zu-Ende verschlüsselte Inhalte nach diesen Mustern zu durchsuchen ohne die Verschlüsselung aufzuweichen. Das ist ein bekanntes Problem. Der EARN IT Act verlangt von den Betreibern nun genau diese Aufweichung.

Mathew Green, Kryptograph und Professor an der John’s Hopkins Universität, fasst die Situation in seinem Statement so zusammen: „It’s the kind of bill you’d come up with if you knew the thing you wanted to do was unconstitutional and highly unpopular, and you basically didn’t care.“

Mit großer medialer Aufmerksamkeit wurde kürzlich der Krypto-Messenger Signal bedacht. Am 8. April 2020 gab das Unternehmen bekannt, sich aus dem US-amerikanischen Markt zurückzuziehen, sollte der EARN IT Act in Kraft treten. Es gilt abzuwarten, welche weiteren Unternehmen sich in den nächsten Monaten so deutlich positionieren werden.

In welchem Stadium des Gesetzgebungsverfahren befinden wir uns?

Stand Februar 2022

Der Gesetzentwurf wurde seit der Präsidentschaftswahl im November 2020 nicht weiter bearbeitet. Nun hat der Senat das Papier wieder hervor geholt und will an der Umsetzung arbeiten. Internetaktivistinnen und -aktivisten sind aufgeschreckt und organisieren Gegenwehr. Die Electronic Frontier Foundation hat eine neue Informationsseite geschalten: Stop the EARN IT Act to Save Our Privacy

Den aktuellen Status des Gesetzgebungsverfahrens kann man hier verfolgen: S. 3398 – EARN IT Act of 2022.

Wichtig: Das Gesetzgebungsverfahren und die Praxis der Rechtsauslegung in den USA sind anders als in Deutschland. US-Gerichte orientieren sich am sogenannten common law, dem Gewohnheitsrecht. Sie können mit ihrer Rechtsprechung auch die Gesetzgebung beeinflussen. Das führt dazu, dass der EARN IT Act bereits Wirkung zeigen könnte, obwohl das Gesetz noch nicht verabschiedet wurde.

Statement der Boxcryptor-Gründer Andrea Pfundmeier und Robert Freudenreich

Mit Boxcryptor haben wir uns dem wirksamen Schutz von Informationen verschrieben. Private Informationen und Geschäftsgeheimnisse zu schützen ist das, was uns jeden Tag für die Arbeit an unserer Verschlüsselungssoftware motiviert. Unsere Software wird von Journalisten und Journalistinnen, Parteien, Unternehmen mit unterschiedlichsten Geschäftsfeldern, Betrieben der kritischen Infrastruktur, Forschungseinrichtungen, Schulen und vielen Privatpersonen genutzt. Die Möglichkeit, Nachrichten und Dateien all dieser Menschen zu verschlüsseln und somit vor den neugierigen Augen Dritter zu schützen, ist für uns elementare Voraussetzung für eine freiheitliche Gesellschaft. Jedem Ansatz, das Recht auf freie Meinungsäußerung zu beschränken, muss entschieden entgegengewirkt werden.

Teilen Sie diesen Artikel

Weitere Artikel zum Thema

Dummies Buchcover und Rücken

BEENDET Gewinnspiel: Wir feiern unsere Buch-Veröffentlichung

Wir haben unser erstes Buch geschrieben, um noch mehr Menschen für die Cloud und Datensicherheit zu begeistern. Zum offiziellen Start können Sie im Gewinnspiel Taschenbücher und Boxcryptor-Lizenzen gewinnen. Alle Infos gibt es im Beitrag.

Ransomware 2

Die jüngsten Datenlecks bei Uber und Rockstar Games' GTA6

Eine weitere Serie von Cyberangriffen auf große Unternehmen hat im September für Aufsehen gesorgt. Lesen Sie weiter, um zu erfahren, was schief gelaufen ist und was Sie aus den Fehlern dieser Unternehmen lernen können.

Das neue Boxcryptor für macOS

Die neue Boxcryptor-App für macOS ist da

Das neue Boxcryptor für macOS ist endlich da – und es hat sich eine Menge getan! Lesen Sie über unsere Beweggründe, die Vorteile dieser neuen Version und warum sie Boxcryptor in eine hervorragende Position für die Zukunft bringt.