Chatkontrolle

Der Begriff der Chatkontrolle entstand im Rahmen einer Gesetzesinitiative der Europäischen Union. Die Kommissarin für Inneres Ylva Johansson regte an, zur Bekämpfung von Darstellungen, die sexuelle Gewalt an Kindern zeigen, Daten auf den Endgeräten zu scannen. Patrick Breyer hat diesem Vorhaben den Namen „Chatkontrolle“ verliehen.^[1]

Die Verordnung trägt den offiziellen Titel „Verordnung zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“.^[2] Sie ist Gegenstand zahlreicher Kontroversen. Fachleute sehen hier einen unverhältnismäßigen Eingriff in die Privatsphäre sowie eine Form der Massenüberwachung. Die Befürworter sehen in der Verordnung notwendige Maßnahmen zum Schutz von Kindern vor sexueller Gewalt.

Seit dem Jahr 2021 gab es eine Ausnahmeregelung,^[3] die es Anbietern erlaubt, Inhalte zu durchsuchen. Die Erlaubnis ist an sich ein Verstoß gegen die Datenschutzrichtlinie für elektronische Kommunikation. Die Derogation führt jedoch zu einer Erlaubnis. Das Vorhaben war bis August 2024 befristet, aber wurde mehrfach verlängert.

Die Ausnahmeregelung schloss solche Kommunikation aus, die Ende-zu-Ende-verschlüsselt war und betonte auch in den Erwägungsgründen die Wichtigkeit dieser Verschlüsselung.

Am 11. Mai 2022 legte Ylva Johannson einen Vorschlag für eine neue Verordnung vor. Dort wurde explizit auch Ende-zu-Ende-Verschlüsselung einbezogen. Weiterhin wurde auch Audiokommunikation, Computerspiele und anderes mit einbezogen.

Ein wesentlicher Bestandteil sind so genannte Aufdeckungsanordnungen (engl. detection orders). Diese werden von nationalen Behörden erlassen und verpflichten Diensteanbieter nach folgenden Inhalten zu suchen:

• bekanntes Material über sexuellen Kindesmissbrauch
• neues Material über sexuellen Kindesmissbrauch
• Grooming

Diese Suche erfolgt automatisch ohne dass es einen Verdacht gegen die betreffenden Personen gibt. Die Anbieter sind verpflichtet, bei Funden die Behörden zu informieren.

Im Zuge der Verordnung soll eine neue Agentur mit Sitz in Den Haag geschaffen werden. Diese arbeitet eng mit Europol zusammen. Das EU-Zentrum hat folgende Aufgaben:

• Verwaltung und Pflege einer Datenbank mit Indikatoren zur Aufdeckung der Verbreitung von Darstellungen sexuellen Kindesmissbrauchs
• Koordinierung zwischen Behörden
• Entgegennahme und Weiterleitung von Verdachtsmeldungen
• Bereitstellung von Informationen und Analysen zur Verhütung und Bekämpfung von sexuellem Missbrauch von Kindern
• Erstellung von Jahresberichten

Unter dem Gesichtspunkt der Risikobewertung schlägt die Verordnung Funktionen zur Prüfung des Alters (Altersverifikation) vor. Das bedeutet, dass digitale Plattformen, App Stores und andere das Alter vorab verifizieren müssen.

Mittels so genannter Entfernungsanordnungen können Anbieter verpflichtet werden, den Zugang zu Informationen zu sperren.

Inhalte sollen vor dem Upload geprüft werden (Upload-Filter).

Der Entwurf der Verordnung enthält keine Vorschriften zu konkreten technischen Maßnahmen. Die Anbieter müssen eigene Maßnahmen entwickeln. Nach Ansicht von Experten sind zwei Varianten der Umsetzung möglich:

1. Abschwächung von Verschlüsselungsalgorithmen oder Einbau von Hintertüren
2. Client-Side-Scanning

Der Entwurf der Verordnung sieht einen Eingriff in Grundrechte vor. Dazu gehören

• Achtung des Privat und Familienlebens nach Art. 7 GRCh
• Schutz personenbezogener Daten nach Art. 8 GRCh
• Meinungs- und Informationsfreiheit nach Art. 11 GRCh

Ein solcher Grundrechtseingriff muss verhältnismäßig sein.

Der Wissenschaftliche Dienst des Deutschen Bundestages sieht bei der Chatkontrolle einen erheblichen Eingriff „in das Recht auf Privatsphäre, in den Datenschutz sowie unter anderem in die Grundrechte der EU-Grundrechtecharta“^[4] Im März 2023 lehnten alle 9 Sachverständige in einer Anhörung des Ausschusses für Digitales im Deutschen Bundestag die geplante den EU-Vorschlag ab; eine Totalüberwachung im Internet als auch eine Überforderung der Strafverfolgungsbehörden mit Falschmeldungen wurde befürchtet.^[5] Im selben Monat bezweifelte der Bundesdatenschutzbeauftragte sowohl Verhältnismäßigkeit als auch Grundrechtskonformität des Entwurfes, der außerdem kaum Schutz für Kinder biete.^[6]

Der europäische Datenschutzausschuss und der europäische Datenschutzbeauftragte veröffentlichen eine gemeinsame Stellungnahme.^[7] Darin wird der Entwurf scharf kritisiert.

• Beide Stellen bemängeln einen weitreichenden und wenig zielgerichteten Entwurf.
• Betroffene haben keine ausreichenden Schutzmaßnahmen.
• Die Einschränkungen bei der Ende-zu-Ende-Verschlüsselung sind unverhältnismäßig.
• Geheimnisträger werden nicht ausreichend geschützt.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit schloss sich der Kritik an.

Der europäische Gerichtshof (EuGH) veröffentliche in der Vergangenheit viele Urteile, die sich mit Aspekten, die in der Chatkontrolle geplant sind, kritisch beschäftigen.

In den Urteilen C-511/18,^[8] C-512/18 und C-520/18 zur Vorratsdatenspeicherung wurde entschieden, dass eine anlasslose Massenüberwachung mit den Grundrechten unvereinbar ist.

Der Art. 15 der E-Commerce-Richtlinie verbietet allgemeine Überwachungspflichten und damit auch Filterpflichten. Dies wurde in den Rechtssachen C-70/10^[9] und C-360/10^[10] vom Gericht bestätigt.

Der europäische Gerichtshof für Menschenrechte, als ein weiteres Gericht innerhalb Europas, entschied, dass eine Schwächung der Ende-zu-Ende-Verschlüsselung gegen die europäische Menschenrechtskonvention verstößt.^[11][12]

Kritiker sehen CSS als schweren Eingriff in die Privatsphäre der Nutzer und als mögliche Methode der Massenüberwachung. Leicht ließen sich auch andere, nicht-illegale Inhalte überwachen. Die Überwachungs- und Kontrollmöglichkeiten von CSS könnten leicht von feindlichen staatlichen Akteuren, Kriminellen oder Intimpartnern der Benutzer missbraucht werden.^[13] Die Möglichkeit solcher Angriffe wurde von Forschern der TU Darmstadt am Beispiel von Apples CSS-Algorithmus NeuralHash zur Detektion von kinderpornografischem Material empirisch nachgewiesen. Während das CSS-System und die damit einhergehende Detektion von illegalem Material mit einfachen Bildänderungen umgangen werden konnte, ließen sich Bilder mit unsensiblem Material in einer Art und Weise manipulieren, dass diese vom System fälschlicherweise als kinderpornografisches Material erkannt wurden. Dies könne zur fälschlichen Markierung unschuldiger Nutzer durch das System führen, bis hin zu einer möglichen politischen Verfolgung sozialer Gruppen.^[14]

Der Chaos Computer Club sieht die Umsetzungsversuche der Europäischen Kommission im Mai 2022 vor Veröffentlichung des Gesetzesentwurfs als einen Angriff auf die Grundfesten jeglicher vertraulicher Kommunikation. Die Chatkontrolle sei ein „überbordender Ansatz, leicht zu umgehen“ und setze an der „völlig falschen Stelle an“. Kriminelle würden gar nicht über Messenger ihr Material austauschen. Auch kleinste Fehlerquoten würden bei einer halben Milliarde pro Tag versendeten Nachrichten den Behörden mehrere tausend Bilder am Tag zusenden, von denen keiner wisse, wer sie betrachte, ob sie gelöscht würden und ob sie nicht wiederum missbraucht würden. Die Chatkontrolle setze mit dem Fernmeldegeheimnis und dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme gleich zwei fundamentale Grundrechte außer Kraft. Sie missachte zwei Bedingungen für vertrauliche Kommunikation, nach denen das eigene Gerät integer sein müsse und Inhalte nicht an Dritte ausleiten dürfe und die Verschlüsselung sicher sein müsse, so dass man nicht dem Netz vertrauen müsse. Daher sei die Chatkontrolle „als fundamental fehlgeleitete Technologie grundsätzlich abzulehnen“.^[15]

Die Präsidentin der Stiftung des Signal-Messengers Meredith Whittaker kritisiert, dass Client-Side-Scanning das ganze Grundprinzip von Ende-zu-Ende-Verschlüsselung mit einer höchst unsicheren Technologie untergräbt und der Regierung die Möglichkeit geben würde, buchstäblich jede Äußerung zu kontrollieren, bevor sie veröffentlicht wird.^[16]

Der Kinderschutzbund sprach sich gegen anlassloses Scannen als „unverhältnismäßig und nicht zielführend“ aus.^[17]

Die Leiterin der Beschwerdestelle des eco – Verbands der Internetwirtschaft Alexandra Koch-Skriba, die Beschwerden zu Missbrauchsbildern im Netz entgegennimmt, betrachtet die von der EU-Kommission vorgelegten Pläne mit Sorge, denn sie untergrüben „jede Form der vertraulichen und sicheren Kommunikation im Netz“, der Entwurf habe „das Potenzial, einen Freifahrtschein für staatliche Überwachung zu schaffen“, dies sei „ineffektiv und illegal“.^[18]

heise online sieht es als nicht zufällig an, dass das für die Chatkontrolle geplante EU-Zentrum im selben Gebäude in Den Haag angesiedelt werden soll, welches auch die EU-Polizeibehörde Europol beherbergt; es scheine ein reger Datenaustausch zwischen Prüfern und Strafverfolgern gewollt zu sein.

Laut heise online kann, auch wenn die deutsche Regierung dagegen ist, Deutschland im Ministerrat überstimmt werden.^[19] Nach Einschätzung von heise ist in den anderen EU-Mitgliedsstaaten kein ähnlich lauter Protest gegen die Verordnung zu hören wie in Deutschland.^[20]

Commons: ChatControl – Sammlung von Bildern, Videos und Audiodateien

1. ↑ Tomas Rudl, Markus Reuter: EU-Kommission: Warum die Chatkontrolle so gefährlich ist. In: netzpolitik.org. 4. November 2021, abgerufen am 6. Januar 2026. 
2. ↑ Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL laying down rules to prevent and combat child sexual abuse. 2022 (europa.eu [abgerufen am 6. Januar 2026]). 
3. ↑ Regulation - 2021/1232 - EN - EUR-Lex. Abgerufen am 6. Januar 2026 (englisch). 
4. ↑ Wissenschaftliche Dienste: Chatkontrolle darf so nicht in Kraft treten netzpolitik.org
5. ↑ Benjamin Hilbricht: Alle gegen Chatkontrolle. In: Behörden Spiegel. 9. März 2023, abgerufen am 24. März 2023. 
6. ↑ Markus Reuter: Jahresbericht: Bundesdatenschutzbeauftragter watscht Chatkontrolle ab. 15. März 2023, abgerufen am 24. März 2023. 
7. ↑ EDSA-EDSB Gemeinsame Stellungnahme 4/2022 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern | European Data Protection Board. Abgerufen am 7. Januar 2026. 
8. ↑ 62018CJ0511. Abgerufen am 7. Januar 2026. 
9. ↑ Document 62010CJ0070. Case C-70/10, 24. November 2011 (europa.eu [abgerufen am 7. Januar 2026]). 
10. ↑ Document 62010CJ0070. Case C-360/10, 16. Februar 2012 (europa.eu [abgerufen am 7. Januar 2026]). 
11. ↑ EGMR: Verschlüsselung ist ein Menschenrecht. 23. Februar 2024, abgerufen am 7. Januar 2026. 
12. ↑ EGMR-Urteil zu Datenschutz und Verschlüsselung. In: Anwaltskanzlei Ferner Alsdorf. 22. März 2024, abgerufen am 7. Januar 2026. 
13. ↑ Markus Reuter: Client-Side-Scanning: Berühmte IT-Sicherheitsforscher:innen warnen vor Wanzen in unserer Hosentasche. 16. Oktober 2021, abgerufen am 25. März 2022. 
14. ↑ Lukas Struppek, Dominik Hintersdorf, Daniel Neider, Kristian Kersting: Learning to Break Deep Perceptual Hashing: The Use Case NeuralHash. In: Proceedings of the ACM Conference on Fairness, Accountability, and Transparency (FAccT). 2022 (arxiv.org [PDF; abgerufen am 10. Juni 2022]). 
15. ↑ linus: EU-Kommission will alle Chatnachrichten durchleuchten. Chaos Computer Club, 9. Mai 2022, abgerufen am 10. Mai 2022. 
16. ↑ Signal’s Meredith Whittaker voices EDRi’s concerns with the CSA Regulation. EDRi, 13. April 2023, abgerufen am 6. Januar 2026. 
17. ↑ Kinderschutzbund lehnt anlassloses Scannen verschlüsselter Kommunikation ab br.de
18. ↑ Meldestelle zur EU-Chatkontrolle Freifahrtschein für staatliche Überwachung heise.de
19. ↑ EU-Kommissarin verteidigt Chatkontrolle heise.de
20. ↑ Wie ein EU-Kinderschutzgesetz die Presse- und Meinungsfreiheit einschraenken kann heise.de