Chatkontrolle EU: Datenschutz vs. Kinderschutz | IT-Medienrecht

Erfahren Sie alles zur geplanten EU-Chatkontrolle. Wie der Entwurf Kinderschutz und Datenschutz kollidieren lässt und was das für Ihre Privatsphäre…

Das Wichtigste in Kürze

  • Die EU-Kommission plant eine „Chatkontrolle“ zur Bekämpfung von Kindesmissbrauch, die das anlasslose Scannen privater Kommunikation vorsieht.
  • Der Entwurf stößt auf massive Kritik wegen potenzieller Verstöße gegen Grundrechte, Datenschutz und die Schwächung der Ende-zu-Ende-Verschlüsselung.
  • Technische Herausforderungen umfassen hohe Fehlerraten bei der Erkennungssoftware und die Umgehung der Verschlüsselung, was die Sicherheit aller Nutzer gefährden könnte.
  • Die Verhandlungen im EU-Rat sind blockiert, da mehrere Mitgliedstaaten, darunter Deutschland, den Entwurf in seiner aktuellen Form ablehnen.
  • Die Debatte dreht sich um den fundamentalen Konflikt zwischen dem legitimen Ziel des Kinderschutzes und dem Schutz der Privatsphäre und digitalen Sicherheit.

Geplante EU-„Chatkontrolle“: Kinderschutz kontra Datenschutz in der Messenger-Regulierung

Die EU-Kommission hat im Mai 2022 einen Verordnungsentwurf (COM(2022) 209 final) vorgelegt, um sexuellen Kindesmissbrauch im Internet wirksamer zu bekämpfen. Dieses Vorhaben – von Kritikern als „Chatkontrolle“ bezeichnet – reagiert auf alarmierende Zahlen: Mindestens jedes fünfte Kind wird Opfer sexueller Gewalt. Zudem gab über ein Drittel der befragten Jugendlichen im Jahr 2021 an, online zu sexuellen Handlungen aufgefordert worden zu sein.

Die Kommission sieht dringenden Handlungsbedarf, da die digitale Verbreitung von Missbrauchsdarstellungen stark zunimmt und bestehende, rein freiwillige Maßnahmen der Unternehmen nicht ausreichen. Ziel ist es, Kinder online besser zu schützen. Dies geschieht jedoch im Spannungsfeld zwischen dem Kinderschutz und dem Datenschutz und den Grundrechten der Nutzer. Die geplante EU-Chatkontrolle ist ein zentraler Bestandteil dieser Debatte.

Inhalt des Verordnungsentwurfs: Scannen privater Kommunikation

Diese Maßnahmen sollen sowohl bekanntes CSAM (Child Sexual Abuse Material) als auch neue Inhalte und Grooming-Versuche (sexuelle Annäherung an Kinder) aufdecken. Zu diesem Zweck würde eine zuständige Behörde sogenannte Aufdeckungsanordnungen (Detection Orders) erlassen können. Diese zwingen Diensteanbieter, alle Inhalte auf ihrer Plattform automatisiert zu scannen.

  1. Durchbrechen der Verschlüsselung (mittels Server-seitigem Zugriff)
  2. Client-Side-Scanning (CSS) direkt auf den Endgeräten der Nutzer

Beim clientseitigen Scanning würde eine Software auf dem Handy oder Computer Nachrichten und Medien schon vor der Verschlüsselung oder nach deren Entschlüsselung prüfen. Die EU-Kommission schlägt zudem die Einrichtung eines neuen EU-Zentrums vor, das die Umsetzung unterstützt. Dieses Zentrum soll Prüf-Technologien bereitstellen und Hash-Datenbanken mit bekannten illegalen Inhalten führen.

Es soll von den Diensten gemeldete Verdachtsfälle vorab prüfen und dann an die Strafverfolgungsbehörden der Mitgliedstaaten weiterleiten. Ergänzend enthält der Entwurf Vorgaben zur Entfernung gemeldeter Inhalte (Löschanordnungen) sowie – brisant – verpflichtende Alterskontrollen. App-Stores müssten gegebenenfalls das Alter von Nutzern verifizieren und bestimmten Altersgruppen den Zugang zu riskanten Apps verwehren. Dies könnte de facto eine Identifizierungspflicht bedeuten.

Technische und rechtliche Umsetzbarkeit der Chatkontrolle

Die technische Umsetzung dieser Maßnahmen ist äußerst anspruchsvoll und umstritten. Besonders Ende-zu-Ende-Verschlüsselung (E2EE) stellt eine Herausforderung dar. Wird sie für den Scan-Prozess aufgebohrt oder umgangen, leidet die Sicherheit aller Nutzer. Selbst wenn stattdessen ein Client-Side-Scanning eingesetzt wird, bleibt der Effekt derselbe: private Chats würden nicht mehr wirklich vertraulich bleiben.

Kritiker weisen darauf hin, dass jede Schwächung der Verschlüsselung Sicherheitslücken schafft. Diese könnten potenziell auch von Kriminellen ausgenutzt werden. Messenger-Dienste wie Signal haben sogar angekündigt, sich vom EU-Markt zurückzuziehen, sollte eine solche Verpflichtung in Kraft treten. Auch technisch ist die Erkennungssoftware nicht unfehlbar.

Die geplanten KI- und Hashing-Technologien zur Inhaltsanalyse weisen derzeit Fehlerraten bis zu 12 %. Bei einem globalen Dienst mit Milliarden Nutzern wie WhatsApp könnten somit Hunderte Millionen Unbeteiligte fälschlicherweise ins Visier geraten. Dies hätte potenziell gravierende Folgen, wenn ihre privaten Fotos oder Nachrichten irrtümlich als illegal eingestuft und an Behörden gemeldet werden.

Zudem ist unklar, ob Unternehmen überhaupt leistungsfähige CSS-Scanner entwickeln können, die ausschließlich illegale Inhalte erkennen, ohne in die Privatsphäre rechtstreuer Nutzer einzudringen. Ein ähnlicher Plan von Apple, iCloud-Fotos auf CSAM zu scannen, stieß 2021 auf massiven Widerstand und wurde schließlich 2022 aufgegeben. Auch Rechtsdurchsetzung und Aufsicht sind weitere Fragen.

Zwar sollen Detection Orders nur durch Gerichte oder unabhängige Behörden angeordnet werden. Die eingesetzten Erkennungstechnologien sollen „state of the art“ und möglichst datensparsam sein. Doch Datenschutzbehörden hätten nach dem Entwurf kaum Eingriffsmöglichkeiten. Ihre Rolle beschränkt sich auf unverbindliche Stellungnahmen vor dem Einsatz einer neuen Scan-Technik. Ob diese eingebauten Schutzmechanismen in der Praxis ausreichen, wird vielfach bezweifelt.

Grundrechte und DSGVO: Konfliktpotenzial der Scan-Pflichten

Die vorgesehenen Maßnahmen kollidieren in erheblichem Maße mit europäischen Grundrechten. Insbesondere Art. 7 der EU-Grundrechtecharta (Achtung des Privat- und Familienlebens) und Art. 8 (Schutz personenbezogener Daten) werden als gefährdet angesehen. Eine anlasslose und flächendeckende Überwachung privater Kommunikation – selbst mit dem legitimen Ziel des Kinderschutzes – überschreitet laut Kritikern die Grenzen der Verhältnismäßigkeit.

Der Bundesdatenschutzbeauftragte bewertet den Entwurf als unverhältnismäßig und grundrechtswidrig, da er faktisch auf eine Massenüberwachung hinauslaufe. Er würde sogar geschützte Kommunikation wie die zwischen Anwalt und Mandant oder Arzt und Patient erfassen. Auch das deutsche Fernmeldegeheimnis (Art. 10 Abs. 1 GG) sähe man dadurch verletzt.

Aus datenschutzrechtlicher Sicht stellen sich Fragen zur Vereinbarkeit mit der DSGVO. Zwar soll die Verordnung eine eigene Rechtsgrundlage für die Datenverarbeitung zur Missbrauchsbekämpfung schaffen. Doch Grundprinzipien nach Art. 5 DSGVO, etwa Datenminimierung und Zweckbindung, werden konterkariert. Dies geschieht, wenn jedes Chat-Gespräch präventiv durchleuchtet wird.

Ohne konkreten Verdacht personenbezogene Inhalte zu scannen, widerspricht dem bisherigen Verbot, Kommunikationsdaten anlasslos zu überwachen. Bedenklich ist auch, dass bei einem solchen Vollzugriff auf Nachrichten besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) mitverarbeitet würden. Dazu gehören Gesundheitsdaten, politische Meinungen oder intime Details aus dem Privatleben, die in Chats erwähnt werden.

Die Verarbeitung solcher sensiblen Informationen erfordert jedoch strenge Voraussetzungen. Ob eine generelle Scan-Pflicht dem „absolut Erforderlichen“ entspricht, wie es die Rechtsprechung für Grundrechtseingriffe verlangt, wird stark bezweifelt. In einer gemeinsamen Stellungnahme von 2022 äußerten der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDPS) ernste Zweifel an der Vereinbarkeit des Entwurfs mit EU-Grundrechten und dem Datenschutzrecht. Insgesamt steht die Rechtskonformität der Chatkontrolle infrage. Es ist absehbar, dass eine Verabschiedung in dieser Form gerichtliche Überprüfungen nach sich ziehen würde, bis hin zum EuGH oder Bundesverfassungsgericht.

Auswirkungen auf Ende-zu-Ende-Verschlüsselung

Ein zentrales Streitthema ist die Zukunft der Ende-zu-Ende-Verschlüsselung. Diese Technik garantiert bislang, dass nur Sender und Empfänger den Inhalt einer Nachricht lesen können. Weder Plattformbetreiber noch Behörden haben Einblick. Die Chatkontroll-Verordnung würde dieses Prinzip faktisch aushebeln.

Zwar betont die Kommission, Verschlüsselung solle an sich nicht verboten werden. Doch jede Verpflichtung zum Scannen bedeutet, dass Inhalte im Klartext vorliegen müssen – entweder durch clientseitiges Mitlesen oder durch Hintertüren auf Servern. Für die Nutzer würde dies das Vertrauen in die Vertraulichkeit ihrer Kommunikation erschüttern.

Viele sehen darin einen Dammbruch: Heute CSAM-Scanning, morgen womöglich Ausweitung auf Terrorismus, Hate Speech oder andere Zwecke. Eine einmal geschaffene Überwachungsinfrastruktur könnte theoretisch auch für Massenüberwachung missbraucht werden. IT-Sicherheitsforscher und sogar Geheimdienste warnen vor den Folgen.

So hat etwa der niederländische Inlandsgeheimdienst AIVD vor der Chatkontrolle gewarnt und auf die entstehenden Sicherheitsrisiken hingewiesen. Unternehmen, die auf Privacy setzen, schlagen Alarm. Der Messenger-Dienst Signal kündigte an, Europa zu verlassen, sollte man gezwungen werden, die Verschlüsselung aufzuweichen. Andere Dienste wie WhatsApp oder Threema positionieren sich ähnlich kritisch.

Sie argumentieren, dass starke Verschlüsselung nicht nur für Privatsphäre, sondern auch für den Schutz vor Kriminellen (etwa Hacker, Datendiebe) und für die nationale Sicherheit unerlässlich ist. Die Verordnung stellt sie vor ein Dilemma: Entweder die Integrität ihrer Dienste aufgeben oder bei Nichtbefolgung rechtliche Schritte und Bußgelder riskieren. Entsprechend wird in der öffentlichen Debatte hitzig diskutiert, ob Kinderschutz ohne Schwächung der Verschlüsselung möglich ist. Oder ob man hier tatsächlich ein fundamentales Element der digitalen Sicherheit opfert.

Aktueller Stand der Verhandlungen (2024/2025)

Noch bleibt die Tür für die Chatkontrolle geschlossen: Der EU-Rat konnte sich bisher nicht auf eine gemeinsame Linie einigen, wodurch der Vorschlag vorerst blockiert bleibt. Die Gesetzesinitiative befindet sich – trotz aller Dringlichkeitsappelle – in zähen Verhandlungen. Europäisches Parlament und Mitgliedstaaten vertreten teils diametral entgegengesetzte Positionen.

Das EU-Parlament hat nach intensiver Beratung im November 2023 Änderungen beschlossen, die den Entwurf deutlich entschärfen sollen. Die Abgeordneten fordern insbesondere eine zielgerichtete, anlassbezogene Anwendung von Scan-Anordnungen, also nur bei konkretem Verdacht statt flächendeckend. Sie nahmen beispielsweise Audio-Nachrichten ganz aus dem Anwendungsbereich der Verordnung aus.

Im Klartext positionierte sich das Parlament gegen eine anlasslose Massenüberwachung und verlangte, dass allenfalls unverschlüsselte Inhalte von Verdächtigen gescannt werden. Diese Parlamentsposition steht der ursprünglichen Kommissionslinie (Pflicht zum Generalscan) unvereinbar gegenüber.

Blockade im Rat der EU

Im Rat der EU (Mitgliedstaaten) konnte bislang keine Einigung erzielt werden. Mehrere geplante Abstimmungen wurden vertagt oder abgeblasen, da sich keine ausreichende Mehrheit abzeichnete. Insbesondere Deutschland hat im Jahr 2024 klar gemacht, dass es dem Entwurf in der vorliegenden Form nicht zustimmen wird.

Bundesinnenministerin Nancy Faeser betonte, die Chatkontrolle sei „nicht mit dem liberalen Rechtsstaat vereinbar“ und bedeute „nichts anderes als das anlasslose und massenhafte Scannen privater Kommunikation“. Die Bundesregierung forderte stattdessen „zielgerichtete und rechtsstaatliche“ Lösungen zum Kinderschutz. Deutschland war damit Wortführer einer Sperrminorität von Ländern, die den Rat bislang blockiert haben.

Karte oder Liste der EU-Länder Deutschland, Österreich, Niederlande, Polen, Finnland, Irland, Luxemburg, die die Chatkontrolle blockieren.

Diese Regierungen argumentieren, eine freiwillige oder nur anlassbezogene Regelung wäre ein unzulässiger Rückschritt und würde das eigentliche Ziel verfehlen. So bezeichnete Spanien die Aufweichung zur Freiwilligkeit als „rote Linie“ und Italien warnte, Dienste könnten sonst „tun und lassen, was sie wollen“. Man müsse zur Chatkontrolle verpflichten und Verstöße sanktionieren.

Kompromissversuche und Ungewissheit

Die EU-Ratspräsidentschaften versuchten 2024/25 Kompromisse auszuloten. Eine Idee unter ungarischem Vorsitz war, Client-Side-Scanning zunächst auf Bilder/Video und Links zu begrenzen, während Text und Audio ausgenommen würden. Außerdem sollte bei verschlüsselten Diensten der Nutzer vorab zustimmen müssen. Bei Verweigerung dürfte er dann keine Bilder oder Links mehr verschicken.

Solche Modelle stießen jedoch weiterhin auf Widerstand, weil sie im Kern ebenfalls eine Durchleuchtung privater Chats voraussetzen. Anfang 2025 schlug die polnische Ratspräsidentschaft vor, die Chatkontrolle nicht verpflichtend, sondern dauerhaft freiwillig zu gestalten. Doch auch diesen Vorschlag lehnten 16 Staaten vehement ab.

Damit ist der Fortgang ungewiss: Bislang konnte keine Allgemeine Ausrichtung im Rat beschlossen werden. Dies ist die notwendige Voraussetzung, um in den finalen Trilog mit dem Parlament zu gehen. Beobachter rechnen damit, dass sich die Verhandlungen bis in die zweite Jahreshälfte 2025 oder gar 2026 ziehen könnten.

Möglich ist auch, dass erst eine neue Bundesregierung in Deutschland (nach 2025) eine veränderte Position einnimmt, welche die Blockade auflöst. Oder dass angesichts der Kritikpunkte ein fundamental überarbeiteter Entwurf neu gestartet wird. Vorerst jedoch ist die Tür für die Chatkontrolle noch geschlossen.

Pflichten für Unternehmen: Was käme auf Messenger, Cloud & Co. zu?

Sollte die Verordnung, in welcher Form auch immer, beschlossen werden, müssten sich Tech-Unternehmen – insbesondere Messenger-Dienste, Anbieter von sozialen Netzwerken, Cloud-Speicher und sogar Online-Spiele mit Chatfunktion – auf umfangreiche Compliance-Pflichten einstellen. Bereits im Entwurf sind mehrere Stufen von Verpflichtungen vorgesehen:

Es liegt auf der Hand, dass besonders kleinere App-Entwickler oder Start-ups hier vor großen Herausforderungen stünden. Die Pflichten sind jedoch nicht nur Bürde, sondern können – richtig angegangen – auch als Wettbewerbsvorteil genutzt werden. Wer frühzeitig in Kinderschutz-Compliance investiert, kann seinen Nutzern und Geschäftspartnern gegenüber Vertrauenswürdigkeit demonstrieren.

Beispielsweise könnten Messenger-Dienste, die innovative Lösungen zur Missbrauchserkennung im Einklang mit dem Datenschutz entwickeln, sich positiv von weniger vorbereiteten Konkurrenten abheben. Gleiches gilt für Spiele-Plattformen: Eine sichere Chat-Umgebung für Kinder mit filternden und moderierenden Funktionen kann Eltern überzeugen und so die Nutzerbasis steigern. Rechtssichere Compliance, also die genaue Kenntnis und Umsetzung der gesetzlichen Vorgaben, wird somit zu einem Qualitätsmerkmal, das sich auch marketingtechnisch nutzen lässt.

Unternehmen, die proaktiv mit den Behörden kooperieren und transparente Schutzkonzepte vorlegen, könnten zudem im Fall einer Aufdeckungsanordnung privilegiert oder mit milderen Auflagen behandelt werden. Um diese Chance zu nutzen, sollten Firmen frühzeitig ihre internen Richtlinien und technischen Systeme überprüfen und gegebenenfalls anpassen. Dabei ist es sinnvoll, Expertise einzuholen: Gerade im Spannungsfeld von Datenschutz, IT-Sicherheit und Strafverfolgung empfiehlt sich eine fachkundige juristische Beratung, um compliant zu bleiben und dennoch die Rechte der Nutzer zu wahren.

Kontroverse: Argumente von Befürwortern und Gegnern der Chatkontrolle

Die Debatte um die EU-Chatkontrolle ist polarisiert. Befürworter – vor allem Kinderschutz-Organisationen, Innenpolitiker und Strafverfolger – betonen die Dringlichkeit des Handelns. Ihr zentrales Argument: „Kein Täter darf im Schutz der Verschlüsselung entkommen.“ Angesichts täglich stattfindender Übergriffe im Netz müsse der Staat alle verfügbaren Mittel nutzen, um Kinder zu schützen. Die bisherigen freiwilligen Meldungen der Industrie reichten nicht aus.

Eine gesetzliche Pflicht setze ein klares Zeichen, dass Kinderschutz Vorrang vor absoluter Vertraulichkeit hat. Befürworter verweisen auf „Erfolgszahlen“ der Scans: So wurden etwa 2020 europaweit zig Millionen CSAM-Meldungen von US-Diensten wie Facebook oder Google generiert, was Tausende von Ermittlungen ermöglichte. Dieses Niveau dürfe nicht einbrechen – im Gegenteil, man müsse die „blinden Flecken“ schließen, die durch verschlüsselte Messenger entstehen. Viele Missbrauchstaten würden heute im Verborgenen passieren; das könne man nicht länger hinnehmen.

Die Verfechter der Verordnung pochen zudem darauf, dass gezielte Filtertechnologie eingesetzt werde. Es ginge nicht darum, jedes private Detail auszuspähen, sondern nur um das Auffinden eindeutig illegaler Inhalte mit technischen Indikatoren. Die Privatsphäre unbescholtener Bürger bleibe gewahrt, da keine menschlichen Beamten Chats mitlesen. Stattdessen suchen automatisierte Systeme lediglich nach Hashes bekannter Missbrauchsbilder oder typischen Mustern von Grooming. Der Versuch des Cybergrooming soll strafbar werden.

Ein weiteres Pro-Argument: Kinder haben ebenfalls Rechte, unter anderem auf Schutz und körperliche Unversehrtheit – diese müssten im digitalen Raum genauso gelten wie die Datenschutzrechte der Erwachsenen. Aus Sicht der Befürworter ist die Chatkontrolle ein notwendiger Kompromiss, um zwei hohe Rechtsgüter (Kinderschutz und Datenschutz) ins richtige Verhältnis zu setzen. Manche argumentieren sogar, dass ohne diese Regulierung die Unternehmen aus Angst vor Haftung freiwillig weniger tun würden (Stichwort „Verhinderung eines Rückschritts hinter den Status quo“). Schließlich wird angeführt, die Verordnung enthalte ausreichende rechtsstaatliche Sicherungen (richterliche Anordnung, Transparenz, Möglichkeit für Rechtsmittel), um Missbrauch zu verhindern. Das Leitmotiv der Befürworter lässt sich so zusammenfassen: „Wir dürfen die Augen nicht verschließen – effektive Kontrollen retten Kinder aus Ausbeutung.“

Gegenargumente: Massenüberwachung und IT-Sicherheitsrisiken

Demgegenüber formiert sich ein breit gefächertes Lager von Gegnern, das von Datenschutzbehörden über IT-Wirtschaft bis zu Bürgerrechtsorganisationen und Wissenschaftlern reicht. Sie warnen, die Chatkontrolle schaffe einen gefährlichen Präzedenzfall für Massenüberwachung im digitalen Zeitalter. Grundrechtler monieren, ein so tiefgreifender Eingriff in die intime Kommunikation aller Bürger sei unverhältnismäßig und verletze die Essenz von Privatheit und Meinungsfreiheit im Netz. Selbst das hehre Ziel könne nicht rechtfertigen, dass Millionen Unschuldiger präventiv überwacht werden – eine Praxis, die eher an autoritäre Regime erinnere als an liberale Demokratien. Der Begriff „Generalverdacht“ fällt oft: Jede Nutzerin, jeder Nutzer würde behandelt, als könnte er/sie Täter sein.

Datenschützer heben hervor, dass bereits die derzeitige freiwillige Scan-Praxis rechtlich umstritten ist. Die EU-Datenschutzgrundverordnung und E-Privacy-Richtlinie verbieten eigentlich das Mitlesen privater Nachrichten. Eine Ausweitung per Gesetz wäre ein Tabubruch, der auch vor Gerichten kaum Bestand haben dürfte. IT-Sicherheitsexperten wiederum sehen die Gefahr, dass ein Zwang zum Client-Scanning die Sicherheit im Internet insgesamt schwächt. Sie fragen: Wer garantiert, dass die eingebauten „Scan-Backdoors“ nicht von Hackern ausgenutzt werden?

Schon heute hätten Kriminelle vielfältige Möglichkeiten, sich der Erkennung zu entziehen, beispielsweise durch Verlagerung in Darknet-Foren, verschlüsselte Nischen-Apps oder getarnte Kommunikationswege. Die wirklich Hardcore-Kriminellen könnten also abtauchen, während Otto Normalbürger überwacht würde. Falscherkennung und Missbrauch sind weitere Gegenargumente.

Die erwähnten Fehlalarme (False Positives) könnten Unschuldige in kriminalpolizeiliche Ermittlungen ziehen. Ihre Daten landen in einem EU-Register, obwohl gar kein Vergehen vorliegt. Das kann Existenzen zerstören, bevor die Irrtümer aufgeklärt sind. Auch wird befürchtet, dass autoritäre Regime die Infrastruktur der Chatkontrolle für eigene Zwecke fordern könnten, etwa um politische Dissidenten auszuspähen – ein reales Risiko, sobald die Technik etabliert ist.

Öffentlichkeit und Fachwelt diskutieren zudem, ob alternative Ansätze effizienter wären. Dazu gehören verstärkte präventive Aufklärung, mehr Gelder für klassische Ermittlungen im Darknet oder verpflichtende Meldewege in den Plattformen, ohne gleich alle Inhalte zu scannen. Gegner führen an, dass die Ressourcen besser in die Bekämpfung organisierter Missbrauchsnetzwerke fließen sollten. Dies wäre sinnvoller, als einen Überwachungsapparat aufzubauen, der womöglich leicht zu umgehen ist.

Insgesamt lautet ihr Fazit: Die Verordnung schießt weit über das Ziel hinaus und gefährdet grundlegende Freiheiten. Echter Kinderschutz müsse anders gestaltet werden, ohne das Prinzip der Privatsphäre zu opfern. Diese Sicht teilen auch mehrere EU-Mitgliedstaaten und das EU-Parlament, wie oben dargestellt.

Angesichts dieser intensiven Debatte ist der Ausgang offen. Fest steht allerdings, dass Tech-Unternehmen sich frühzeitig informieren und vorbereiten sollten. Die Balance zwischen Kinderschutz und Datenschutz wird weiterhin ein zentrales Thema der Messenger-Regulierung in Europa bleiben. Es ist absehbar, dass in welcher Form auch immer Scanning-Verpflichtungen oder strengere Auflagen kommen werden. Eine vorausschauende Compliance-Strategie und die Beachtung sowohl der rechtlichen als auch der ethischen Dimension können Unternehmen helfen, sich in diesem Spannungsfeld korrekt aufzustellen.

Checkliste: Vorbereitung auf die EU-Chatkontrolle

Um auf mögliche Änderungen im Zusammenhang mit der EU-Chatkontrolle vorbereitet zu sein, sollten Unternehmen folgende Schritte beachten:

FAQ zur EU-Chatkontrolle

Was genau ist die „EU-Chatkontrolle“?

So wird umgangssprachlich der Entwurf einer EU-Verordnung zur Verhinderung von Kindesmissbrauch online bezeichnet. Dahinter steckt der Plan, Anbieter von Online-Diensten (Messenger, Cloudspeicher, soziale Netzwerke etc.) zu verpflichten, automatisiert nach Kinderpornografie und Cybergrooming in privaten Nachrichten zu suchen. Die Chatkontrolle ist also kein einzelnes Tool, sondern ein ganzes Regelungspaket, das Scantechnologien und Meldepflichten vorschreibt – vergleichbar mit einem digitalen Scanner-Gesetz zum Kinderschutz.

Wen würden die neuen Pflichten treffen?

Grundsätzlich fast alle Dienste, über die Nutzer Inhalte austauschen können. Dazu zählen Messaging-Apps (WhatsApp, Signal, Threema, iMessage, Telegram, Chats in Online-Spielen), E-Mail-Dienste, Foren und Cloud-Plattformen zum Teilen von Fotos/Videos. Selbst kleinere App-Anbieter wären erfasst, sofern ihre Anwendung Kommunikationsfunktionen bietet.

Hosting-Provider (wie Dropbox, Google Drive) müssten nach illegalen Dateien suchen; Kommunikationsdienste (Messenger, Chats) nach verdächtigen Nachrichten oder Medien. Reine Telekommunikations-Anbieter (Internet-Access, Telefonie) sind nicht das primäre Ziel. Doch sie könnten bei Webblocking-Anordnungen zum Zug kommen, um den Zugang zu ausländischen Missbrauchs-Websites zu sperren.

Sollen auch verschlüsselte Chats gescannt werden dürfen?

Ja – das ist einer der kontroversesten Punkte. Der Entwurf schließt Ende-zu-Ende-verschlüsselte Dienste ausdrücklich ein. Anbieter wie WhatsApp oder Signal müssten eine technische Lösung finden, um trotz Verschlüsselung an die Inhalte zum Scannen zu kommen. Praktisch ginge das nur via Client-Side-Scanning. Dabei wird der Chat-Inhalt vor der Verschlüsselung am Sender-Gerät oder nach der Entschlüsselung am Empfänger-Gerät geprüft.

Die Kommission behauptet, man „breche die Verschlüsselung nicht“, weil die Nachricht ja weiterhin verschlüsselt übermittelt wird. Kritiker entgegnen jedoch, dass es keinen Unterschied macht, wo der staatlich verordnete Zugriff erfolgt. Faktisch wären E2EE-Nachrichten nicht mehr nur Privatsache von Sender und Empfänger.

Verstößt das nicht gegen Datenschutz und Grundrechte?

Dieser Vorwurf wird vielfach erhoben. Datenschutzrechtlich bewegt man sich in einem Graubereich: Zwar würde die Verordnung eine EU-weit einheitliche Rechtsgrundlage schaffen (somit Art. 6 DSGVO erfüllen), aber Art. 8 Grundrechtecharta verlangt auch Verhältnismäßigkeit und Achtung des Wesensgehalts der Privatsphäre. Eine pauschale Dauerüberwachung aller Nachrichten wird von vielen Juristen als unvereinbar mit der EU-Charta angesehen.

Schon heute hat der EuGH beispielsweise Gesetze zur Vorratsdatenspeicherung gekippt, die weit weniger intrusiv waren als das geplante Chat-Scanning. Die EU-Datenschützer (EDSA/EDPS) haben 2022 klar Stellung bezogen, dass die Chatkontrolle in der vorgeschlagenen Form ernste Grundrechtsbedenken aufwirft. Es ist also wahrscheinlich, dass im Falle einer Verabschiedung sofort Klagen anhängig würden. Eine mögliche Folge: bestimmte Teile könnten für ungültig erklärt oder stark eingeschränkt werden. Kurz: Das Spannungsverhältnis zu Datenschutz und Grundrechten ist erheblich, eine endgültige Bewertung würde voraussichtlich höchste Gerichte beschäftigen.

Ab wann käme die Regelung und wie wahrscheinlich ist sie?

Derzeit (Stand Anfang 2025) ist unklar, ob und wann die Verordnung kommt. Ursprünglich hoffte die Kommission auf einen Abschluss bis Ende 2024, doch die Verhandlungen sind ins Stocken geraten. Da 2024 Europawahlen stattfanden, verzögert sich das Verfahren weiter. Optimistische Schätzungen gehen von einer Einigung im Laufe von 2025 aus, mit Inkrafttreten dann 2026 nach einer Übergangsfrist. Pessimistische Sichtweisen sehen die Möglichkeit, dass das Vorhaben ganz scheitert oder in der nächsten Legislatur neu aufgerollt wird, wenn die Widerstände zu groß bleiben.

Für Unternehmen heißt das aber nicht Entwarnung – vielmehr sollte man das Thema ernst nehmen und die Entwicklung genau verfolgen. Die politische Dynamik kann sich ändern. Zum Beispiel könnte bei neuen Missbrauchsskandalen der Druck steigen. Es ist ratsam, vorbereitet zu sein, falls die Regel doch kurzfristig kommt.

Wie können sich Unternehmen jetzt schon wappnen?

Unternehmen sollten zunächst informiert bleiben, zum Beispiel via Branchenverbände oder Newsletter zu EU-Digitalrecht. Eine interne Bestandsaufnahme ist sinnvoll: Welche Datenströme gibt es? Wo könnten Missbrauchsinhalte auftreten? Viele Firmen setzen bereits Compliance-Tools ein, beispielsweise Microsofts PhotoDNA zum Abgleich bekannter CSAM-Bilder in Cloud-Speichern. Prüfen Sie, ob solche Tools verfügbar und vereinbar mit Ihrer Datenschutzpolicy sind. Es kann sinnvoll sein, eine Pilot-Umsetzung einer Erkennungstechnologie zu testen, um Erfahrungen zu sammeln.

Gleichzeitig sollten Sie Ihre Privacy-Versprechen an Nutzer nicht vorschnell brechen: Transparenz ist hier das A und O. Bereiten Sie daher Kommunikationsstrategien vor, um Nutzern Änderungen erklären zu können. Und letztlich: Juristischen Rat einzuholen, ist eine gute Idee. Die Materie bewegt sich zwischen Strafrecht, Datenschutz und Technik. Spezialisierte Kanzleien oder Datenschutzexperten können helfen, einen individuellen, rechtssicheren Fahrplan zur Umsetzung beziehungsweise zur Positionierung in der Debatte zu erstellen. So sind Sie auf der sicheren Seite, egal wie die EU-Chatkontrolle letztlich ausgestaltet wird.

Fazit zur EU-Chatkontrolle

Die geplante EU-Chatkontrolle zeigt exemplarisch das Spannungsfeld zwischen Kinderschutz und Datenschutz. Sie stellt Messenger- und Online-Anbieter vor immense Herausforderungen – rechtlich wie technisch. Noch ist offen, in welcher Form die Regelung kommt. Unternehmen sollten die Zeit nutzen, um sich vorzubereiten.

Wer die Compliance-Hausaufgaben macht und zugleich die Grundrechte der Nutzer achtet, kann diese Herausforderung meistern. Im Idealfall trägt dies dazu bei, dass sowohl Kinder wirksam geschützt als auch die Privatsphäre respektiert wird.

Häufig gestellte Fragen

Was ist die geplante EU-„Chatkontrolle“?
Die EU-Kommission hat einen Verordnungsentwurf vorgelegt, um sexuellen Kindesmissbrauch im Internet wirksamer zu bekämpfen. Kritiker bezeichnen das Vorhaben als „Chatkontrolle“, da es das anlasslose Scannen privater Kommunikation vorsieht, um Darstellungen von Kindesmissbrauch und Grooming-Versuche aufzudecken.
Welche technischen Maßnahmen sind im Entwurf zur „Chatkontrolle“ vorgesehen?
Der Entwurf sieht vor, dass Messenger- und Hosting-Dienste private Kommunikation und Dateien ihrer Nutzenden auf Darstellungen von Kindesmissbrauch durchsuchen. Dies umfasst das Scannen von Bildern, Videos, Textnachrichten und sogar Audio-Kommunikation, entweder durch Durchbrechen der Verschlüsselung oder Client-Side-Scanning auf Endgeräten.
Warum ist die Ende-zu-Ende-Verschlüsselung ein zentrales Problem bei der „Chatkontrolle“?
Die Ende-zu-Ende-Verschlüsselung garantiert, dass nur Sender und Empfänger den Inhalt einer Nachricht lesen können. Die „Chatkontrolle“ würde dieses Prinzip faktisch aushebeln, da Inhalte im Klartext vorliegen müssten. Dies könnte die Sicherheit aller Nutzer schwächen und das Vertrauen in die Vertraulichkeit der Kommunikation zerstören.
Welche grundrechtlichen Bedenken gibt es gegen die „Chatkontrolle“?
Kritiker sehen die anlasslose und flächendeckende Überwachung privater Kommunikation als Verstoß gegen das Recht auf Privat- und Familienleben (Art. 7 EU-Grundrechtecharta) und den Schutz personenbezogener Daten (Art. 8 EU-Grundrechtecharta). Auch das deutsche Fernmeldegeheimnis könnte verletzt werden, da die Maßnahmen als unverhältnismäßig gelten.
Wie ist der aktuelle Stand der Verhandlungen zur „Chatkontrolle“?
Der EU-Rat konnte sich bisher nicht auf eine gemeinsame Linie einigen, wodurch der Vorschlag blockiert bleibt. Das EU-Parlament hat Änderungen beschlossen, die den Entwurf entschärfen sollen, während Deutschland und weitere Länder den Entwurf in der vorliegenden Form ablehnen. Eine ausreichende Mehrheit im Rat zeichnet sich nicht ab.
MerkmalServer-seitiger Zugriff (Durchbrechen der Verschlüsselung)Client-Side-Scanning (CSS)
Ort des ScansAuf den Servern des DiensteanbietersDirekt auf den Endgeräten der Nutzer (vor Verschlüsselung/nach Entschlüsselung)
VerschlüsselungMuss durchbrochen oder umgangen werdenInhalte werden vor Verschlüsselung oder nach Entschlüsselung geprüft
Datenschutz-ImplikationErschüttert Vertrauen in Vertraulichkeit, schafft HintertürenPrivate Chats nicht mehr wirklich vertraulich, schafft Sicherheitslücken
Technische HerausforderungSchwächung der Ende-zu-Ende-VerschlüsselungEntwicklung leistungsfähiger Scanner, die nur illegale Inhalte erkennen