https://arpokrat.com/de/blog/tags/dsgvo/ Recent content in DSGVO on Arpokrat Hugo -- gohugo.iodeWed, 10 Jun 2026 00:00:00 +0000 https://arpokrat.com/de/blog/ipa-osa-backdoors/ Wed, 10 Jun 2026 00:00:00 +0000 https://arpokrat.com/de/blog/ipa-osa-backdoors/ <p>London ist zum Epizentrum eines weltweiten Kampfes um die Zukunft der digitalen Privatsphäre geworden. Mit der Verabschiedung des <em>Online Safety Act</em> 2023 (OSA) und den jüngsten Vorschlägen zur Überarbeitung des <em>Investigatory Powers Act</em> (IPA) — von seinen Kritikern als „Spionage-Charta“ bezeichnet — nimmt sich die britische Regierung das Recht heraus, Überwachungspflichten direkt im Kern privater Kommunikation durchzusetzen. Der Bruchpunkt ist die der Aufsichtsbehörde OFCOM verliehene Befugnis, von Plattformen den Einsatz „akkreditierter Technologie“ zur Erkennung von Material über sexuellen Kindesmissbrauch (CSEA) oder Terrorismus zu fordern, selbst innerhalb <a href="https://arpokrat.com/de/messenger">Ende-zu-Ende-verschlüsselter Kommunikation</a>.</p> <p>Für die großen digitalen Plattformen ist die Botschaft aus Westminster unmissverständlich: Entweder sie ermöglichen dem Staat den Zugang zu ihren Infrastrukturen, oder ihnen drohen Geldstrafen von bis zu 10 % ihres weltweiten Umsatzes. Die Reaktion kam prompt: Dienste wie Signal und WhatsApp drohten öffentlich mit dem Rückzug aus dem britischen Markt und weigerten sich, die Sicherheit ihrer Nutzer zu gefährden, um eine einzige Gerichtsbarkeit zufriedenzustellen. Das technische Argument lässt sich kaum bestreiten: Es gibt keinen Hauptschlüssel (Master Key), der nur rechtmäßigen Akteuren vorbehalten ist. Eine offene Tür für Strafverfolgungsbehörden ist naturgemäß eine offene Tür für Cyberkriminelle und ausländische Geheimdienste.</p> <h2 id="das-geschäftsmodell-großer-plattformen-ein-strukturelles-hindernis-für-zero-knowledge">Das Geschäftsmodell großer Plattformen: ein strukturelles Hindernis für Zero-Knowledge</h2> <p>Der Widerstand großer Plattformen gegen die Einführung der Zero-Knowledge-Verschlüsselung erklärt sich nicht durch technische Unfähigkeit, sondern durch eine grundlegende wirtschaftliche Unvereinbarkeit. Unternehmen wie Alphabet und Meta verlassen sich auf Monetarisierungsmodelle, die auf der systematischen Erfassung von Verhaltensdaten basieren. Dieses Modell wird übrigens implizit durch das Gesetz über digitale Märkte (DMA) der Europäischen Union anerkannt, das diese „Torwächter“ (Gatekeeper) als Einrichtungen einstuft, deren beherrschende Stellung gerade durch die Anhäufung von Daten in beispiellosem Ausmaß genährt wird. Für diese Akteure würde die Einführung einer Zero-Knowledge-Architektur bedeuten, ihren Werbesystemen die kontinuierliche Identifizierung von Benutzern zu entziehen, die ihren Treibstoff ausmacht. Es handelt sich also nicht um eine technische Entscheidung, sondern um einen Kompromiss zwischen der Privatsphäre der Nutzer und der Tragfähigkeit ihres Geschäftsmodells.</p> <h2 id="das-strategische-risiko-die-bedrohung-durch-harvest-now-decrypt-later">Das strategische Risiko: die Bedrohung durch „Harvest Now, Decrypt Later“</h2> <p>Über die Debatte um die Privatsphäre hinaus wirft die Schwächung der Verschlüsselung eine Frage der nationalen Sicherheit von ganz anderer Tragweite auf. Die als <a href="https://arpokrat.com/de/blog/harvest-now-decrypt-later-hndl-zero-knowledge/"><em>Harvest Now, Decrypt Later</em> (HNDL)</a> bekannte Strategie beinhaltet, dass staatliche Gegner heute massive Mengen verschlüsselter Kommunikation abfangen und speichern, in Erwartung zukünftiger Quanten-Entschlüsselungsfähigkeiten. Durch die Schwächung aktueller Verschlüsselungsstandards erleichtert der britische Rechtsrahmen objektiv diese Art von Operationen gegen Regierungs-, diplomatische oder industrielle Kommunikation.</p> <p>Genau in diesem Kontext des mangelnden Vertrauens gewinnen Ökosysteme wie das von Arpokrat an operativer Relevanz. Indem Arpokrat unter dem Regime des Schweizerischen Bundesgesetzes über den Datenschutz (DSG) arbeitet, mit einer Architektur, die keine zivilen Identifikatoren sammelt, bietet es einen technischen Bruch mit Infrastrukturen, die der britischen Gerichtsbarkeit unterliegen — was garantiert, dass das System gegenüber den durch das OSA vorgesehenen Anordnungen taub bleibt.</p> <h2 id="der-normenkonflikt-osa-und-ipa-gegen-europäisches-recht">Der Normenkonflikt: OSA und IPA gegen europäisches Recht</h2> <p>Die rechtliche Analyse der neuen britischen Staatsprärogativen offenbart eine direkte Kollision mit den Grundlagen des europäischen Rechts in Bezug auf Datenschutz und die Vertraulichkeit der Kommunikation.</p> <h3 id="osa-gegen-das-verbot-der-anlasslosen-überwachung">OSA gegen das Verbot der anlasslosen Überwachung</h3> <p>Artikel 121 des OSA führt die Möglichkeit für die OFCOM ein, Anordnungen zu erlassen, die Plattformen zwingen, clientseitiges Scannen (<em>client-side scanning</em>) zu implementieren. Diese Maßnahme verstößt direkt gegen den aus dem europäischen Recht stammenden und in der Rechtsprechung des EuGH verankerten Grundsatz, der allgemeine Überwachungspflichten verbietet. Durch die Durchsetzung einer „Schwachstelle durch Design“ (vulnerability by design) bringt es Unternehmen auch in eine Zwickmühle: Indem sie ihre Sicherheit schwächen, um einem staatlichen Mandat nachzukommen, verletzen sie ihre Verpflichtung, ein der Verarbeitung angemessenes Sicherheitsniveau zu gewährleisten, wie in Artikel 32 der DSGVO verankert.</p> <h3 id="die-eprivacy-richtlinie-und-die-vertraulichkeit-der-kommunikation">Die ePrivacy-Richtlinie und die Vertraulichkeit der Kommunikation</h3> <p>Das Scannen privater Nachrichten steht in direktem Widerspruch zu Artikel 5 Absatz 1 der Richtlinie 2002/58/EG (<em>ePrivacy</em>), der die Mitgliedstaaten verpflichtet, die Vertraulichkeit elektronischer Kommunikation zu gewährleisten und jegliche Form des Abfangens oder der Überwachung ohne die ausdrückliche Zustimmung der betroffenen Nutzer verbietet.</p> <h3 id="technical-capability-notices-und-die-blockierung-von-sicherheitsupdates"><em>Technical Capability Notices</em> und die Blockierung von Sicherheitsupdates</h3> <p>Unter dem Regime des IPA 2016 beabsichtigt die britische Regierung nun, <em>Technical Capability Notices</em> (TCN) zu nutzen, um Sicherheitsupdates vor deren Einsatz zu blockieren. Dieser Mechanismus schafft einen unlösbaren Konflikt mit der durch Artikel 32 der DSGVO festgelegten Verpflichtung, die kontinuierliche Sicherheit der Verarbeitungssysteme zu gewährleisten — eine Verpflichtung, die genau die Fähigkeit erfordert, Patches ohne Verzögerung oder externe Einmischung anzuwenden.</p> <h2 id="compliance-risiken-für-in-europa-tätige-unternehmen">Compliance-Risiken für in Europa tätige Unternehmen</h2> <p>Die Überarbeitungen des IPA zielen darauf ab, Unternehmen zu zwingen, die britische Regierung vor ihrer Umsetzung über jede technische Änderung zu informieren, die sich auf die Sicherheit auswirkt, und ihr somit ein Vetorecht über die Produktentwicklung einzuräumen. Diese Einmischung schafft erhebliche Rechtsunsicherheit für Lieferanten, die auf dem europäischen Markt tätig sind: Die britische Angemessenheit an das europäische Recht — die bereits fragil ist — könnte in Frage gestellt werden, wenn das Vereinigte Königreich keinen im Wesentlichen gleichwertigen Schutz mehr wie die DSGVO garantiert. Datenübermittlungen in das Vereinigte Königreich in diesem neuen Rahmen würden Unternehmen daher wahrscheinlich Sanktionen gemäß der DSGVO aussetzen.</p> <h2 id="verteidigung-durch-technische-unmöglichkeit-das-zero-knowledge-prinzip-als-juristischer-schutzschild">Verteidigung durch technische Unmöglichkeit: das Zero-Knowledge-Prinzip als juristischer Schutzschild</h2> <p>Die internationale Rechtsprechung, gefestigt durch die <em>Schrems I</em>- und <em>Schrems II</em>-Urteile des EuGH, hat ein bestimmendes Prinzip etabliert: Der einzige robuste Schutz gegen unverhältnismäßige Überwachung ist die technische Unmöglichkeit des Zugriffs darauf. Zero-Knowledge-Architekturen wenden dieses Prinzip in drei Schutzschichten an:</p> <ol> <li><strong>Fehlen von Verwahrung:</strong> Da die Plattform die Entschlüsselungsschlüssel nicht besitzt, ist jede Anordnung zum Scannen von Nachrichten technisch nicht durchführbar;</li> <li><strong>Souveränität des Betriebssystems:</strong> Die Kontrolle über <a href="https://arpokrat.com/de/os">ArpokratOS</a> eliminiert Telemetrie, die die nachrichtendienstliche Erfassung auf Geräteebene speist;</li> <li><strong>Schweizerische juristische Verankerung:</strong> Indem Arpokrat seine Infrastruktur in der Schweiz hostet, operiert es unter einem Rechtsregime, das individualisierte und begründete Rechtshilfeersuchen erfordert, was die automatisierte Ausführung der durch das OSA vorgesehenen Massenscans neutralisiert.</li> </ol> <h2 id="fazit">Fazit</h2> <p>Die Bestimmungen des OSA und die Überarbeitungen des IPA sind nicht nur eine Bedrohung für die Privatsphäre von Einzelpersonen: Sie stellen einen Bruch der Rechtssicherheit für alle europäischen Daten dar, die durch Infrastrukturen fließen, die der britischen Gerichtsbarkeit unterliegen. Indem London die Schwächung der Verschlüsselung im Namen der öffentlichen Sicherheit legitimiert, setzt es seine Verbündeten und Handelspartner paradoxerweise Risiken der Industrie- und Staatsspionage aus, die Zero-Knowledge-Architekturen gerade verhindern sollen.</p> <p>Die Integrität professioneller und institutioneller Kommunikation erfordert nun eine strukturelle Antwort: die Migration hin zu dezentralen Ökosystemen, die digitale Souveränität garantieren, von der Codeebene bis hin zur juristischen Verankerung.</p>