Client-Side-Scanning

Client-Side-Scanning (CSS) bezeichnet eine technische Verfahrensweise, bei der versendete oder empfangene Dateien lokal auf dem Endgerät einer Person auf bestimmte, in einer Datenbank hinterlegte Inhalte durchsucht werden, bevor diese weiter verschickt beziehungsweise verarbeitet werden. Dies geschieht beispielsweise bei Antivirenprogrammen, die Schadsoftware aufgrund vorher ermittelter Signaturen erkennen.^[1] Im Speziellen ist mit CSS eine Methode zur Telekommunikationsüberwachung gemeint, bei der zu versendende Dateien bereits vor der Ende-zu-Ende-Verschlüsselung nach Inhalten überprüft werden. Um das Ziel der Chatkontrolle umzusetzen, wäre Client-Side-Scanning eine technische Methode. Wegen der Gefahr des Aufbaus von Massenüberwachungs- und Zensurstrukturen werden diese Technik und die zugehörigen Gesetzesentwürfe in der EU scharf kritisiert.^[2]

In der EU dürfen Unternehmen auf der Grundlage einer Ausnahmeregelung von der Datenschutzrichtlinie für elektronische Kommunikation eine Chatkontrolle durchführen. Diese Ausnahmeregelung läuft im August 2024 aus, eine Verlängerung ist vorgesehen. Die Europäische Kommission will die Chatkontrolle dauerhaft verpflichtend machen, hat aber Schwierigkeiten, die nötigen Mehrheiten zu erzielen. Das Vorhaben stößt auf breite Kritik.^[3]

Am 11. Mai 2022 legte die Europäische Kommission einen Gesetzesentwurf für eine sogenannte Chatkontrolle vor, der die Betreiber von Messengern zum Scannen auf Kinderpornografie verpflichtet.^[4] Eine genaue Technologie schreibt dieser nicht vor. Möglich sind das Aufweichen kryptografischer Protokolle oder eben Client-Side-Scanning, z. B. mittels Hashabgleich.^[5]

Die Mitgliedsstaaten der EU waren in der Frage Stand Februar 2023 noch zwiegespalten: gegen die Chatkontrolle traten damals vor allem Deutschland, Frankreich und Slowenien ein sowie Österreich, die Niederlande und Lettland, eindeutig für die Chatkontrolle hingegen Spanien, Kroatien, Griechenland, Litauen und Zypern.^[6] Im Mai 2023 positionierten sich in einem gemeinsamen Papier zehn Staaten für die Einführung: Belgien, Bulgarien, Zypern, Ungarn, Irland, Italien, Lettland, Litauen, Rumänien und Spanien.^[7] Stand Juni 2023 war die eindeutige Mehrheit der Staaten für die Einführung, darunter nun auch Frankreich, Slowenien und Lettland.^[8] In vielen Staaten, darunter Deutschland, kam es zu unterschiedlichen Meinungen innerhalb der Regierungskoalitionen: Oft steht ein die Pläne unterstützendes Innenministerium einem die Pläne ablehnenden Justizministerium gegenüber.^[9] In Deutschland wurden im Koalitionsvertrag der Bundesregierung unter Olaf Scholz „allgemeine Überwachungspflichten, Maßnahmen zum Scannen privater Kommunikation und eine Identifizierungspflicht“ abgelehnt, und es wurde erklärt, dass „anonyme und pseudonyme Online-Nutzung“ gewahrt bleiben wird.^[10]

Im Mai 2023 bezeichnete der Juristische Dienst des EU-Rats die Pläne als grundrechtswidrig und schloss sich damit anderen Juristen, den deutschen und europäischen Datenschutzbeauftragten sowie den Wissenschaftlichen Diensten von Bundestag und EU-Parlament an.^[11]

Am 25. Oktober 2023 musste sich die EU-Innenkommissarin Ylva Johansson, Verfechterin der Chatkontrolle, vor dem EU-Innenausschuss wegen Lobby-Verflechtungen mit Ashton Kutchers Organisation „Thorn“ und politischem Mikrotargeting rechtfertigen^[12].

Der europäische Datenschutz-Beauftragte Wojciech Wiewiórowski lehnt die Chatkontrolle mit der Begründung ab, dass die geplanten technischen Maßnahmen ineffizient seien, und darüber hinaus selbst die freiwilligen Pläne zu weit gingen. Er äußerte, das Ziel, sexuellen Missbrauch von Kindern zu bekämpfen, müsse mit den notwendigen Schutzmaßnahmen für die private Kommunikation von Einzelpersonen und damit ihrer Grundrechte auf Privatsphäre verfolgt werden^[13].

Inzwischen lehnen neben europäischen Datenschutzbehörden, darunter auch die deutsche, sowie mehr als 100 internationale Digital- und Bürgerrechtsorganisationen die Chatkontrolle ab^[14]. Eine unter belgischer Ratspräsidentschaft für den 20. Juni 2024 angesetzte Abstimmung im Ausschuss der Ständigen Vertreter der Mitgliedstaaten (COREPER) wurde mangels Erfolgsaussicht kurzfristig von der Tagesordnung genommen.

2025 kam es zu einem weiteren Versuch, eine Einigung zu erzielen. Der sogenannte Dänische Kompromiss sah weiterhin die Möglichkeit zur verpflichtenden anlasslosen Massenkontrolle privater Kommunikation vor. Deutschland kam bei der Abstimmung eine entscheidende Rolle zu, da seine Zustimmung wahrscheinlich die nötige Mehrheit gesichert hätte. Die Bundesregierung, die in ihrem Koalitionsvertrag eine anlasslose Massenkontrolle ablehnt, legte sich aber erst nach einer öffentlichen Kampagne^[15] in den Tagen vor der entscheidenden Beratung am 8. Oktober 2025 fest. Sie lehnte den Kompromiss ab, so dass weiterhin kein rechtlicher Rahmen für die Chatkontrolle besteht^[16].

CSS als Mittel der Telekommunikationsüberwachung wurde erstmals im größeren Maße öffentlich diskutiert, nachdem Apple 2021 angekündigt hatte, die Endgeräte seiner Nutzer auf Darstellungen von Kindesmissbrauch zu durchsuchen. Dateien, die auf die iCloud hochgeladen werden, sollten auf kinderpornografische Inhalte überprüft werden, indem sie mit Einträgen einer Datenbank des National Center for Missing & Exploited Children abgeglichen würden. Nach Protesten wurde das Vorhaben verschoben.^[17]

Im April 2022 erklärte Meta Platforms, an Ende-zu-Ende-Verschlüsselung als Langzeitziel festzuhalten. In der von Meta zitierten Untersuchung Human Rights Impact Assessment – Meta's Expansion of End-to-End Encryption der Organisation „Business for Social Responsibility“ heißt es, dass eine sichere Ende-zu-Ende-Verschlüsselung grundlegende Menschenrechte wie Meinungsfreiheit und Privatsphäre bewahrt und Individuen vor repressiven Regimen schützt. Auch der Datenschutz sei ein grundlegendes Menschenrecht. Der Einsatz von clientseitigen Scan-Techniken untergrabe aber die Integrität von Ende-zu-Ende-Verschlüsselung. Um gesellschaftliche Probleme wie Kriminalität und Kindesmissbrauch zu bekämpfen, seien Präventionsstrategien wie die Auswertung von Metadaten und Verhaltensanalysen, aber auch Nutzeraufklärung und eine „robuste Benutzerberichterstattung“ geeigneter.^[18]

Im Falle der europäischen Umsetzung von CSS kündigte Signal-Chefin Meredith Whittaker an, dass sich der Instant-Messaging-Dienst vom europäischen Markt zurückziehen würde.^[19]

Sollte es keine rechtlichen Schritte oder technische Workarounds mehr geben, das Untergraben der verschlüsselten Kommunikation zu verhindern, wird der in der Schweiz ansässige Instant-Messaging-Dienstes Threema die EU verlassen, und andere Kommunikationsdienste dazu aufrufen.^[20]

• Alexander Lehmann: Kampagnenvideo gegen Chatkontrolle auf YouTube

1. ↑ Fact Sheet: Client-Side Scanning. In: Internet Society. 24. März 2020, abgerufen am 22. Mai 2022 (amerikanisches Englisch). 
2. ↑ Markus Reuter: Client-Side-Scanning: Berühmte IT-Sicherheitsforscher:innen warnen vor Wanzen in unserer Hosentasche. 16. Oktober 2021, abgerufen am 25. März 2022. 
3. ↑ netzpolitik.org, abgerufen am 23. Januar 2024.
4. ↑ ec.europa.eu
5. ↑ heise.de
6. ↑ So stehen die EU-Länder zur Verschlüsselung. In: netzpolitik.org. 9. Februar 2023, abgerufen am 12. Februar 2023. 
7. ↑ Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse – Common position of the like-minded group (LMG) of Member States. Abgerufen am 22. Mai 2023. 
8. ↑ netzpolitik.org, abgerufen am 13. Juni 2023.
9. ↑ Justizminister Buschmann mobilisiert EU-Kolleg:innen. In: netzpolitik.org. 12. Mai 2023, abgerufen am 12. Mai 2023. 
10. ↑ spd.de
11. ↑ Chatkontrolle ist grundrechtswidrig und wird scheitern. Abgerufen am 22. Mai 2023. 
12. ↑ Markus Reuter: Ylva Johansson weicht Fragen im EU-Innenausschuss aus. In: netzpolitik.org. netzpolitik.org, 25. Oktober 2023, abgerufen am 16. Juni 2024. 
13. ↑ Tomas Rudl: Europäischer Datenschutzbeauftragter lehnt freiwillige Chatkontrolle ab. In: netzpolitik.org. netzpolitik.org, 29. Januar 2024, abgerufen am 16. Juni 2024. 
14. ↑ European Commission must uphold privacy, security and free expression by withdrawing new law, say civil society. In: EDRi. EDRi, 8. Juni 2022, abgerufen am 16. Juni 2024 (englisch). 
15. ↑ WhatsApp warnt vor Gesetz zur Chat-Überwachung. In: spiegel.de. spiegel.de, 6. Oktober 2025, abgerufen am 25. Oktober 2025. 
16. ↑ „Chatkontrolle“ EU-Staaten erzielen keine Einigung. In: deutschlandfunk.de. deutschlandfunk.de, 13. Oktober 2025, abgerufen am 25. Oktober 2025. 
17. ↑ Markus Reuter, Holly Hildebrand: Nach Protesten: Apple verschiebt Pläne zur Durchsuchung von Dateien auf iPhones. 3. September 2021, abgerufen am 25. März 2022. 
18. ↑ Wiedergegeben nach: https://www.heise.de/news/Meta-haelt-an-Ende-zu-Ende-Verschluesselung-als-Langzeitziel-fest-6662912.html
19. ↑ Daniel Ziegener: Wenn die Chatkontrolle kommt, würde Signal gehen. In: Golem.de. 3. Juni 2024, abgerufen am 4. Juni 2024. 
20. ↑ Markus Reuter: Ein Massenüberwachungsapparat von orwellschem Ausmaß. In: netzpolitik.org. netzpolitik.org, 18. Juni 2024, abgerufen am 30. Juni 2024.