PhotoDNA: Warum ein Foto in OneDrive eine Hausdurchsuchung zur Folge hatte

Rechtsanwalt Udo Vetter hatte dieser Tage für Aufregung mit einem Blogbeitrag gesorgt, in dem er davon berichtet hat, dass es bei einem seiner Mandaten in Deutschland eine Hausdurchsuchung gab, weil er ein verdächtiges Foto in seinem OneDrive lagerte. Daraufhin wurden die wildesten Verschwörungstheorien durchs Netz getrieben. Microsoft würde alle Dateien inhaltlich scannen und man könne bereits verdächtig werden, wenn man Fotos seiner Kinder am Strand in die Cloud packt.

Mal davon abgesehen, dass ich der Meinung bin, dass solche Fotos generell nicht unverschlüsselt bei Cloudspeicher-Diensten gelagert werden sollten, stellt sich die Sachlage etwas weniger aufsehenerregend dar, als man zunächst meinen könnte. Da ich das bereits vermutet habe, hatte ich nach Bekanntwerden des Falls bei Microsoft angefragt, wie es sich damit verhält.

Wie ich bereits erwartet hatte, scannt Microsoft die Inhalte bei OneDrive nicht in solch einer Art, wie es zum Beispiel Facebook oder Google+ macht, um bekannte Personen in Fotos zu verlinken. Für OneDrive sind Daten nur Daten, es gibt allerdings die Möglichkeit eine Art Blacklist zu nutzen. Hierbei werden bestimmte Metadaten eines Bildes erfasst und zu einem eindeutigen digitalen Fingerabdruck kombiniert, der auch erhalten bleibt, wenn die Daten in ihrer Größe oder Farbe verändert werden.

Das Ganze nennt sich PhotoDNA, wurde von Microsoft in Zusammenarbeit mit der Universität Dartmouth bereits 2009 entwickelt und wird unter anderem auch von Google, Twitter oder Facebook genutzt. Ermittler müssen Wege finde, auch und vor allem online illegale Machenschaften zu bekämpfen und solchen Spuren nachgehen. PhotoDNA hat sich als Mittel anscheinend etabliert, seit März 2014 übrigens auch in Deutschland.

Haben Ermittlungsbehörden während ihrer Ermittlungen eindeutig illegales Material gefunden, können sie dieses auf einen Index stellen und zwar nur über die PhotoDNA. Automatisiert werden Inhalte in Clouddiensten dann auf ihre PhotoDNA geprüft, blockiert und den entsprechenden Behörden gemeldet. Dies ist bereits in der Vergangenheit mehrfach passiert, sowohl bei Microsoft, als auch bei z.B. Google. Microsoft weist auf diesen längst bekannten Umstand bzw. diese seit Jahren genutzt Methode auch im Zusammenhang zu diesem aktuellen Fall mit folgender Stellungnahme nochmals hin:

Child pornography violates the law as well as our terms of service, which makes clear that we use automated technologies to detect abusive behavior that may harm our customers or others. In 2009, we helped develop PhotoDNA, a technology to disrupt the spread of exploitative images of children, which we report to the National Center for Missing and Exploited Children as required by law.

PhotoDNA schlägt also immer dann an, wenn ein Nutzer Inhalte in seinem Cloudspeicher lagert, die eindeutig auf dem Index bzw. in Zusammenhang mit Straftaten steht. Microsoft weist darauf auch in den hauseigenen Nutzungsbedingungen hin. Dort heißt es unter Punkt 3.5:

Häufig wird Microsoft durch Beschwerden von Kunden auf Verletzungen der Verhaltensregeln aufmerksam gemacht, wir setzen jedoch auch automatisierte Technologien ein, um Kinderpornografie oder missbräuchliches Verhalten ausfindig zu machen, das dem System, unseren Kunden oder anderen Schaden zufügen könnte. Bei der Untersuchung dieser Angelegenheiten werden die Inhalte von Microsoft oder den Vertretern von Microsoft überprüft, um das Problem zu lösen.

Funktioniert das System PhotoDNA richtig, dann sollte auch die manuelle Prüfung durch Microsoft nur eine Formsache sein. Ob das nun alles den deutschen Datenschutzregelungen entspricht, vermag ich nicht abschließend zu beurteilen. Zumindest eine Ermittlungshilfe sowie die Anordnung zur Hausdurchsuchung stehen auf einem anderen Blatt und entspringen den Abwägungen eines deutschen Ermittlungsrichters.

Keiner möchte, dass „Fremde“ sich durch die persönlichen Fotos wühlen können, keiner möchte verständlicherweise aber auch, dass Cloudspeicher  zur Tauschplattform für illegale Inhalte werden. Einen Mittelweg zu finden, der Datenschutz wahrt und dennoch schlimme Dinge aufdecken kann, ist sicher nicht einfach.

Mir liegt es fern, hier etwas zu relativieren bzw. zu beschönigen, was ich aber in den letzten Tagen zu diesem Thema gelesen habe, zieht einem mal wieder die Schuhe aus. Von daher seht es einfach als kleine Hintergrundinfo, was denn da überhaupt passiert.