Der Rat der EU hat in der Vergangenheit einen Verordnungsentwurf mit dem Arbeitstitel Chatkontrolle vorbereitet, mit dem er Regeln zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern festlegen wollte. Zu diesem Zweck wollte die EU den Inhalt aller Nachrichten vor dem Versand kontrollieren und bewerten, ob diese Nachrichten „in Ordnung” sind.
Für die Bürger der Union hätte es keine Privatsphäre beim Austausch elektronischer Nachrichten (auch nicht verschlüsselter) gegeben, da gemäß der Verordnung die Anbieter solcher Dienste jede Nachricht vor dem Versand kontrollieren und bewerten mussten, ob sie im Hinblick auf den sexuellen Missbrauch von Kindern und die Verbreitung solcher Inhalte (CSAM) problematisch ist.
Mit Ausnahme ausgewählter Gruppen, wie beispielsweise der Mitarbeiter der Union, würden alle einer flächendeckenden Kontrolle unterliegen.
Aufgrund der außerordentlichen Bedenken hinsichtlich des Verlusts der Privatsphäre und der unzulässigen Eingriffe in die Grundrechte der Bürger wurde die geplante Gesetzgebung in Form einer obligatorischen Kontrolle nicht verabschiedet, aber es zeichnet sich die Verabschiedung einer abgeschwächten Fassung ab.
Einigung der Staaten auf einen abgeschwächten Entwurf
Der Rat der EU hat sich auf einen Standpunkt zu dem geplanten Gesetz geeinigt, wonach die flächendeckende Überwachung durch Technologieunternehmen „freiwillig” statt obligatorisch sein soll. Die Staaten einigten sich auf diesen Kompromiss, nachdem die dänische Ratspräsidentschaft das ursprünglich ablehnende Deutschland überzeugt hatte und die abgeschwächte Verordnung mit qualifizierter Mehrheit angenommen wurde.
Der Vorschlag war Gegenstand einer Sitzung des sogenannten Coreper (Ausschuss der Ständigen Vertreter der Regierungen der Mitgliedstaaten bei der Europäischen Union), und die Tschechische Republik, Polen, die Slowakei und die Niederlande stimmten dagegen, während Italien sich der Stimme enthielt.
Der Legislativvorschlag wird nun in die nächste Phase übergehen, nämlich in die Verhandlungen zwischen dem Rat der Europäischen Union, der Europäischen Kommission und dem Europäischen Parlament. Die Form der endgültigen und rechtsverbindlichen Verordnung kann sich daher noch erheblich ändern.
Das Europäische Parlament hat bereits in der Vergangenheit Vorschläge für eine flächendeckende Überwachung im Rahmen dieses Entwurfs abgelehnt, und die weiteren Verhandlungen werden im Januar 2026 beginnen.
Mit dem angenommenen Vorschlag hebt der Rat die obligatorischen Anordnungen zur Erkennung unangemessener Inhalte auf und hat stattdessen beschlossen, die Verantwortung auf die Technologieplattformen zu verlagern, indem diese Maßnahmen zur Eindämmung der Verbreitung verbotener Inhalte ergreifen.
Die Plattformen entscheiden selbst über die umfassende Überwachung
Nach den neuen Vorschriften sind Online-Diensteanbieter verpflichtet, das Risiko zu bewerten, dass ihre Dienste für die Verbreitung von Material missbraucht werden könnten, das den sexuellen Missbrauch von Kindern darstellt.
Auf der Grundlage dieser Bewertung müssen die Unternehmen Maßnahmen zur Minderung dieses Risikos ergreifen. Zu diesen Maßnahmen könnte die Bereitstellung von Tools gehören, mit denen Nutzer den sexuellen Missbrauch von Kindern online melden, kontrollieren können, welche Inhalte über sie mit anderen geteilt werden, und voreingestellte Datenschutzoptionen für Kinder einrichten können.
Darüber hinaus sind die zuständigen nationalen Behörden weiterhin befugt, Unternehmen zur Entfernung und Sperrung des Zugangs zu Inhalten oder – im Falle von Suchmaschinen – zur Entfernung von Suchergebnissen zu verpflichten. Mit der Verordnung wird auch eine neue EU-Agentur in Form des EU-Zentrums zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern eingerichtet, die die Mitgliedstaaten und Online-Anbieter bei der Umsetzung des Gesetzes unterstützen soll.
Zu den wichtigsten und kritisierten Abhilfemaßnahmen gehört die „freiwillige“ Überwachung aller Nachrichten durch Unternehmen, die damit das Risiko von Geldstrafen oder anderen Sanktionsmechanismen seitens der Union am stärksten verringern.
In der Praxis bedeutet dies, dass der Rat die Verantwortung für die Überwachung unter Androhung hoher Strafen von seinen Schultern auf die Schultern der Technologieunternehmen übertragen hat.
Die Zustimmung zur Überwachung wird vom Nutzer erteilt
Derzeit haben viele Experten ihre Befürchtungen geäußert, dass Unternehmen sich dafür entscheiden könnten, die „freiwillige Überwachung“ fest in ihre Dienste zu integrieren, wodurch sie auf einfachste Weise ihre Verantwortung für unangemessene Inhalte ausschalten würden.
Dies würde durch die einfache Aufnahme einer Zustimmung des Nutzers in die Vertragsbedingungen für die Nutzung ihres Produkts erreicht, wobei die Person, ohne die Vertragsbedingungen zu lesen, „freiwillig der Überwachung aller Nachrichten zustimmen“ würde, da sie sonst den Dienst nicht nutzen könnte.
Aus Sicht der Einhaltung der Vorschriften durch Technologieunternehmen wäre dies die einfachste Möglichkeit, die vorgeschlagenen Vorschriften einzuhalten, was jedoch natürlich die Einführung eines eigenen internen Systems zur Risikobewertung und damit auch das „Ein- und Ausschalten der flächendeckenden Überwachung“ nicht ausschließt.
Auch eine „freiwillige“ flächendeckende Überwachung ist jedoch aus Sicht des EU-Rechts problematisch. Gemäß der EU-Charta hat jeder Unionsbürger das Recht auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seiner Kommunikation sowie das Recht auf Schutz seiner personenbezogenen Daten (deren Verwaltung der Rechtmäßigkeit, Zweckbindung, Angemessenheit und unabhängigen Aufsicht unterliegen muss).
Die Rechtsprechung der Union verbietet unberechtigte flächendeckende Überwachung
Die Rechtsprechung des Europäischen Gerichtshofs in Sachen flächendeckende Überwachung von Bürgern verbietet solche Praktiken eindeutig.
Die Entscheidung der Großen Kammer des Gerichtshofs der EU in der Rechtssache Digital Rights Ireland (C-293/12 und C-594/12) stellte die Ungültigkeit der Richtlinie fest. Diese verpflichtete Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste (Telefonbetreiber, Internetanbieter) dazu, Daten über die Kommunikation (sogenannte Verkehrs- und Standortdaten, Metadaten) aller ihrer Kunden für mindestens sechs und höchstens 24 Monate zu speichern, um schwere Straftaten zu bekämpfen.
Der Gerichtshof stellte fest, dass die Richtlinie einen zu weitreichenden und schwerwiegenden Eingriff in die Privatsphäre und das Recht auf Schutz personenbezogener Daten darstellte. Sie schrieb nämlich eine allgemeine Verpflichtung zur Erhebung von Daten der gesamten Bevölkerung vor, unabhängig davon, ob ein Verdacht auf eine Straftat bestand, und enthielt keine ausreichenden Garantien zum Schutz der Daten vor Missbrauch.
Diese Praxis wurde von der Großen Kammer des EuGH auch in ihrer Entscheidung in den verbundenen Rechtssachen C-511/18, C-512/18 und C-520/18 (bekannt als La Quadrature du Net) bestätigt. Auch in diesem Fall stellte der Gerichtshof ein Verbot der pauschalen und nicht selektiven Vorratsspeicherung von Daten fest.
Aus rechtlicher Sicht ist es dabei unerheblich, ob eine solche massenhafte Überwachung und Datenerhebung eine gesetzliche Verpflichtung oder eine „freiwillige“ Möglichkeit für Unternehmen ist, um Strafen zu vermeiden. Entscheidend ist, ob ein solcher Eingriff notwendig, verhältnismäßig und wirksam überwacht ist, damit die Rechte der Bürger nicht unangemessen eingeschränkt werden.
Zu viele sensible Daten zur Überwachung
Unternehmen könnten formal argumentieren, dass der Nutzer den Nutzungsbedingungen, die das Scannen beinhalten, freiwillig zustimmt, sodass alles in Ordnung ist. Im Sinne der DSGVO muss eine solche Zustimmung jedoch freiwillig, konkret, informiert und eindeutig sein und darf nicht einfach hinter der Option „Ich stimme zu“ versteckt sein, da sonst die Dienstleistung nicht genutzt werden kann.
Bei großen Plattformen (WhatsApp, Messenger und ähnlichen), die in der Praxis für die soziale und berufliche Kommunikation unverzichtbar sind, ist die Option „Ich stimme nicht zu“ rein theoretisch. Diese Verpflichtung wird für alle großen Plattformen gelten, sodass der Nutzer in der Realität keine Möglichkeit hat, moderne Kommunikationskanäle zu nutzen, ohne eine massenhafte Überwachung zu akzeptieren.
Die Überwachung privater Nachrichten, einschließlich intimer Fotos, Gesundheitsdaten, politischer Meinungen und Ähnlichem, birgt nicht nur das Risiko der Verarbeitung besonderer Kategorien personenbezogener Daten ohne die erforderliche Einwilligung oder Begründung, sondern stellt auch einen absolut unzulässigen Eingriff in die Privatsphäre des Einzelnen dar. Das Recht auf Privatsphäre würde im Grunde genommen nicht mehr existieren, was ebenfalls mit den europäischen Werten unvereinbar ist.
Künstliche Intelligenz wird Fehler machen
Die technologische Umsetzung der flächendeckenden Überwachung soll auf der Grundlage künstlicher Intelligenz (KI) erfolgen. Es ist nämlich ganz natürlich, dass solch massive Datenmengen von Menschen nicht effektiv verarbeitet werden können.
Dies wirft jedoch ein weiteres ernstes Problem auf, nämlich die Fehleranfälligkeit der KI. Das Risiko, dass unschuldige Personen als Verdächtige schwerer Sexualstraftaten eingestuft (und anschließend den staatlichen Behörden gemeldet) werden, ist extrem hoch. Technische Experten warnen vor Fällen sogenannter falsch positiver Ergebnisse, bei denen beispielsweise ein unschuldiges Bild aus dem Familienurlaub als illegal eingestuft würde.
Anbieter könnten motiviert sein, „aggressiver“ zu scannen, um zu zeigen, dass sie „verantwortungsbewusst“ und „proaktiv“ sind, was das Risiko von falschen Positiven und daraus resultierenden Eingriffen in das Leben unschuldiger Menschen (Meldungen an die Polizei, Sperrung von Konten, Stigmatisierung) erhöht.
Sensible Daten und Gespräche, die beispielsweise medizinische Fakten oder andere medizinische Inhalte enthalten, werden ebenfalls von unbekannten Personen in der neuen Behörde kontrolliert, was aus rechtlicher Sicht unzulässig ist.
Es gibt unzählige mögliche Szenarien für den Missbrauch des Systems, ungerechtfertigte Eingriffe in die Rechte von Personen sowie offensichtlich rechtswidrige Maßnahmen, die sich aus der Verordnung ergeben. Der Bereich der politischen Rechte oder der Beschäftigung, in dem die Vertraulichkeit der Kommunikation von entscheidender Bedeutung ist – wie beispielsweise bei Journalisten –, aber auch andere sensible Behörden der Mitgliedstaaten werden der Überwachung durch europäische Beamte ausgesetzt sein.
All diese Bereiche bieten unendliche Möglichkeiten, wie die Überwachung der Kommunikation zu einer eindeutigen Verletzung der Rechte von Personen führen kann.
Ein privates Unternehmen wird über die Rechte der Bürger entscheiden
Derzeit ist nämlich unklar, wer und wie darüber entscheiden wird, ob eine flächendeckende Überwachung notwendig ist oder nicht. Es ist empörend, dass darüber private Personen in Unternehmen und nicht staatliche Behörden entscheiden werden.
Auch die Details der Zusammenarbeit zwischen der neuen europäischen Agentur und privaten Technologieunternehmen, die Qualifikation dieser Personen und Ähnliches sind nicht klar. Es ist auch nicht bekannt, wie die Mitarbeiter der Agentur mit den staatlichen Behörden der Länder zusammenarbeiten werden, in denen Straftaten begangen werden, und welche Befugnisse sie dafür haben werden.
Ebenso umstritten ist, wie sich Menschen überhaupt gegen den Missbrauch ihrer privaten Daten durch private Unternehmen wehren können, deren primäres Ziel die Erzielung von Gewinnen ist.
Werden sie dann ihre Rechte vor einem nationalen Gericht oder vor europäischen Gerichten geltend machen? Und wer wird eigentlich verantwortlich sein? Das Unternehmen, das die Verordnung einhält, oder die Union, die die Verordnung erlassen hat?
Die Bekämpfung des sexuellen Missbrauchs von Kindern ist in jeder Gesellschaft eine besondere Priorität, aber der vorliegende Vorschlag ändert auch in seiner „Freiwilligkeit” im Grunde genommen nicht viel an der ursprünglichen obligatorischen Überwachung aller Bürger (mit Ausnahme ausgewählter Gruppen wie EU-Bedienstete).
Der Vorschlag enthält keinerlei Vision, wie Missbrauch tatsächlich wirksam verhindert werden soll (die Vorstellung, jährlich Millionen solcher Straftaten in der gesamten EU, oft auch zwischenstaatlich, zu verfolgen, ist reine Illusion). aber es gibt zu viele unbekannte Umstände, als dass man unter dem allgemein akzeptierten Grundsatz (Schutz von Kindern) eine absolut inakzeptable Rechtsvorschrift verabschieden könnte.
Die theoretische Freiwilligkeit seitens der Technologieunternehmen bedeutet, dass die Möglichkeit einer flächendeckenden Überwachung besteht. Und wenn eine solche Maßnahme seitens staatlicher Behörden oder EU-Institutionen nicht zulässig ist, ist es absolut ausgeschlossen, dass sie in die Hände privater Unternehmen gelangt.