Internet-Dienste dürfen die Kommunikation ihrer Nutzer scannen, obwohl das eigentlich verboten ist. Die EU-Gesetzgeber wollen eine vorübergehende Ausnahme der Datenschutzrichtlinie zum zweiten Mal verlängern. Grundrechts-Eingriffe müssen verhältnismäßig sein, aber niemand kann die Verhältnismäßigkeit belegen.
Stimmt Chatkontrolle zähneknirschend zu: SPD-Abgeordnete Birgit Sippel. – Alle Rechte vorbehalten Europäisches Parlament
Die EU-Institutionen wollen Internet-Diensten weiterhin erlauben, die Kommunikation ihrer Nutzer freiwillig zu scannen, um sexuellen Missbrauch von Kindern zu suchen.
Seit 2021 gibt es eine „vorübergehende Ausnahme“ der Vertraulichkeit der Kommunikation. Eine Verordnung erlaubt Internet-Diensten, die Kommunikation ihrer Nutzer zu scannen, um sexuellen Missbrauch von Kindern zu bekämpfen. Diese Übergangsverordnung war eigentlich auf drei Jahre befristet. Im April 2024 wurde die Ausnahme um zwei Jahre verlängert.
Die deutsche Sozialdemokratin Birgit Sippel hat dem Entwurf ein persönliches Statement beigefügt. Sie kritisiert, dass die Ausnahmeregelung eigentlich „streng befristet und außergewöhnlich“ sein sollte. Die CSA-Verordnung soll die Chatkontrolle dauerhaft regeln. Doch das seit 2022 verhandelte Gesetz ist bis heute nicht fertig. Die EU-Staaten haben erst im November ihre Position beschlossen, jetzt läuft der Trilog.
Die Berichterstatterin will die erneute Verlängerung daher auf ein Jahr begrenzen. Kommission und Rat fordern zwei Jahre. Internet-Dienste sollen ausschließlich nach Hash-Werten von bekanntem „Material über sexuellen Missbrauch von Kindern“ suchen. Kommission und Rat wollen auch unbekanntes Material und Grooming suchen. Ein Erwägungsgrund stellt klar, dass die Chatkontrolle Ende-zu-Ende-Verschlüsselung nicht „verbietet, schwächt oder untergräbt“.
Das Parlament kritisiert die Datenbasis, welche die Chatkontrolle begründen soll. Die EU-Kommission hat zweiBerichte zur freiwilligen Chatkontrolle erstellt. Doch die Daten reichen nicht aus, die Frage zu beantworten, ob die Chatkontrolle überhaupt verhältnismäßig ist. Sippel hält fest: „Die Faktenlage reicht nach wie vor nicht aus, um einen breiten Anwendungsbereich zu rechtfertigen.“
Trilog zur dauerhaften Chatkontrolle
Vertrauliche Kommunikation ist ein Grundrecht. Internet-Dienste dürfen in dieses Grundrecht nur eingreifen, wenn ein Gesetz das vorschreibt. Dieses Gesetz gibt es nicht. Der Eingriff muss notwendig und verhältnismäßig sein. Die Kommission kann die Verhältnismäßigkeit nicht belegen. Das hat auch der Europäische Datenschutzbeauftragte immerwieder kritisiert.
Trotzdem soll die „vorübergehende Ausnahme“ jetzt zum zweiten Mal verlängert werden. Als nächstes verhandelt das EU-Parlament den Entwurf. Im März soll das Parlament die Position beschließen.
Parallel dazu verhandeln die Gesetzgeber die CSA-Verordnung mit der dauerhaften Chatkontrolle. Der Trilog behandelt unter anderem die Frage, ob Anbieter auch gegen ihren Willen zur Chatkontrolle verpflichtet werden können.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Sowohl der Rat als auch das EU-Parlament haben Nein gesagt zur verpflichtenden Chatkontrolle. Aber die umstrittene Verordnung birgt weitere Risiken für digitale Grundrechte – und zwar flächendeckende Alterskontrollen. Worüber Kommission, Parlament und Rat jetzt verhandeln.
Die EU will neue Barrieren schaffen (Symbolbild) – Schild: Efrem Efre / Free Pexels Licence; Hintergrund: IMAGO/ Breuel-Bild
Es war ein merkliches Aufatmen Ende vergangenen Jahres. Nach mehr als drei Jahren Verhandlungen hatten sich Vertreter*innen der EU-Staaten im Rat auf eine gemeinsame Position zur sogenannten Chatkontrolle geeinigt, einem der weitreichendsten Überwachungsprojekte der EU.
Hinter der Chatkontrolle stecken Pläne der EU-Kommission, Anbieter von Messengern wie Signal oder WhatsApp auf Anordnung dazu verpflichten zu können, die Kommunikation von Nutzer*innen zu durchleuchten. Vertrauliche Nachrichten müssten sie dann in großem Stil nach sogenannten Missbrauchsdarstellungen durchsuchen – ein fundamentaler Angriff auf sicher verschlüsselte Kommunikation. Anlass ist der Vorschlag für eine Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern, kurz: CSA-VO.
Fachleute aus unter anderem Kinderschutz, Wissenschaft, Zivilgesellschaft sind gegen das Vorhaben Sturm gelaufen. Mit dem Nein von Rat und EU-Parlament dürfte die Chatkontrolle vom Tisch sein. Kaum beachtet geblieben ist dabei jedoch ein weiteres Überwachungsvorhaben im Vorschlag der Kommission, und zwar die Einführung von Alterskontrollen.
Die EU-Kommission möchte Anbieter nämlich auch dazu verpflichten dürfen, das Alter ihrer Nutzer*innen zu überprüfen. Betroffen sind Dienste, die Erwachsene nutzen können, um sexuelle Kontakte zu Minderjährigen anzubahnen. Das nennt sich Grooming.
Alterskontrollen laufen oftmals auf invasive Maßnahmen heraus. Nutzer*innen müssten dann zum Beispiel ihr Gesicht biometrisch vermessen lassen, damit eine Software ihr Alter schätzt, oder mithilfe von Dokumenten wie dem Ausweis belegen, dass sie erwachsen sind. Mindestens würde es damit für Millionen Nutzer*innen schwerer, sich frei im Netz zu bewegen. Wenn es nicht gelingt, solche Kontrollen sicher zu gestalten, drohen Datenschutz-Verletzungen und massenhafte Überwachung.
Kommission, Rat und Parlament haben teils widersprüchliche Positionen zu den Alterskontrollen. Aktuell verhandeln sie im sogenannten Trilog über die Verordnung – und damit auch über die Zukunft von Alterskontrollen in der EU. Wir liefern die Übersicht über die zentralen Positionen und die Risiken dahinter.
Der Vorschlag der EU-Kommission sieht eine Verpflichtung zu Alterskontrollen bei „interpersonellen Kommunikationsdiensten“ vor, einfach ausgedrückt: Anbietern mit Chatfunktion.
Sie sollen zunächst selbst das Risiko für Grooming einschätzen, also ob ihre Dienste zum Zweck des „sexuellen Kindesmissbrauchs“ eingesetzt werden könnten. Dabei spielt etwa eine Rolle, wie viele Kinder den Dienst überhaupt verwenden, wie leicht sie von Erwachsenen auf der Plattform kontaktiert werden können und welche Möglichkeiten es gibt, solche Kontakte zu melden.
Potenziell von Grooming betroffene Anbieter sollen dann das Alter ihrer Nutzer*innen überprüfen, um Minderjährige „zuverlässig“ zu identifizieren. Die Konsequenz sollen Maßnahmen zur Risikominderung sein. Zwar nennt der entsprechende Artikel im Entwurf kein konkretes Beispiel – denkbar wären aber zum Beispiel eingeschränkte Chat-Funktionen, die keine Gespräche mit Fremden erlauben.
Vergangene Recherchen über Grooming legen nahe: Diese Regelung könnte viele populäre Plattformen treffen, etwa TikTok, Instagram und Roblox oder das unter Gamer*innen beliebte Discord. Auch Messenger wie WhatsApp oder Signal könnten dazu verpflichtet werden, das Alter ihrer Nutzer*innen zu prüfen.
Entscheidend sind hier die Worte „zuverlässig identifizieren“. Eine schlichte Altersabfrage dürfte kaum genügen. Es geht auch nicht bloß darum, dass Anbieter Schutzfunktionen für Minderjährige bereithalten müssen, damit betroffene Minderjährige (oder ihre Aufsichtspersonen) sie einsetzen können. Stattdessen könnte es sein, dass Nutzer*innen in großem Stil beweisen sollen, dass sie schon erwachsen sind.
Zusätzlich sieht die Kommission eine weitere Altersschranke vor, die noch einen Schritt früher ansetzt, und zwar bei „Stores für Software-Anwendungen“. Darunter dürften mindestens der Google Play Store und Apples App Store fallen, je nach Auslegung auch Spiele-Marktplätze wie Steam. Auch dort müssten Nutzer*innen demnach ihr Alter nachweisen, bevor sie Zugang bekommen.
Das will der Rat der EU
Der Rat der EU vertritt die Regierungen der Mitgliedstaaten. Geht es um Alterskontrollen, deckt sich die Ratsposition weitgehend mit dem Vorschlag der Kommission. Auch der Rat will, dass Anbieter, die ein Risiko zur Kontaktaufnahme mit Kindern bei sich feststellen, das Alter ihrer Nutzer*innen kontrollieren. Das Gleiche will der Rat für App Stores.
Für die Ausgestaltung dieser Kontrollen stellt der Rat weitere Anforderungen auf. Demnach sollen die Maßnahmen Privatsphäre und Datenschutz wahren, transparent, akkurat und dabei auch zugänglich und diskriminierungsfrei sein. Der Rat spricht damit Aspekte an, die sich auch an anderer Stelle in EU-Regeln finden, etwa in den Leitlinien zum Jugendschutz im Netz auf Grundlage des Gesetzes über digitale Dienste (DSA).
Der Knackpunkt: Keine Technologie wird all diesen Anforderungen gerecht. Um den Anspruch zu erfüllen, akkurat zu sein, müssten Prüfungen wohl invasiv sein – sonst lassen sie sich täuschen. Typisch sind Kontrollen mit biometrischen Daten oder auf Basis von Dokumenten wie Ausweispapieren. Erstere können Menschen diskriminieren, die nicht ausreichend in den Trainingsdaten eines KI-Systems repräsentiert sind, etwa Women of Color. Letztere können Menschen ausschließen, die keine Papiere haben.
Das will das EU-Parlament
Das EU-Parlament will bei Alterskontrollen einen anderen Weg einschlagen, wie dessen Position zeigt. Streichen will das Parlament demnach die Pflichten für Alterskontrollen auf der Ebene von App-Stores.
Die Marktplätze sollen demnach bloß deutlich ausweisen, wenn Apps erst ab einem bestimmten Alter vorgesehen sind. Zudem sollen sie bei Apps, die das verlangen, die Zustimmung von Erziehungsberechtigten sicherstellen. Diese Maßnahmen könnten etwa Apple und Google bereits umgesetzt haben: Dort gibt es entsprechende Vorkehrungen für Accounts von Minderjährigen, die an Eltern-Accounts gekoppelt sind.
Für die Anbieter von Kommunikationsdiensten will das Parlament im Gegensatz zu Rat und Kommission keine verpflichtenden Alterskontrollen, sondern optionale. Risiken mindern müssen betroffene Anbieter dennoch; sie hätten allerdings die Wahl, auf welche Weise sie das tun.
Weniger invasive Methoden zur Altersprüfung haben einige Plattformen bereits heute im Einsatz. So will TikTok das Verhalten von Nutzer*innen auf Signale untersuchen, die auf ein zu geringes Alter hindeuten, etwa, mit welchen Accounts sie interagieren.
Das Parlament fordert zudem eine Reihe von Auflagen für Alterskontrollsysteme und wird dabei konkreter als der Rat. Demnach soll es für Nutzer*innen weiterhin möglich sein, anonyme Accounts einzurichten, und es sollen keine biometrischen Daten verarbeitet werden dürfen. Zudem sollen Kontrollen nach dem Zero-Knowledge-Prinzip erfolgen. Praktisch heißt das: Anbieter, bei denen man das eigene Alter nachweist, sollen nichts weiter erfahren, außer ob man die nötige Altersschwelle überschreitet. Ein mögliches Werkzeug dafür ist die von der EU in Auftrag gegebene Alterskontroll-App, die künftig Teil der digitalen Brieftasche (EUDI-Wallet) werden soll.
Für Dienste, die sich an Kinder unter 13 Jahren richten, fordert das Parlament zusätzlich, dass sie standardmäßig in ihren Funktionen hohe Sicherheitsstandards wählen. Sie sollen etwa verhindern, dass Nutzer*innen persönliche Daten teilen oder Screenshots machen können.
Gesondert verlangt das Parlament außerdem Regeln für Pornoplattformen. Diese besondere Gruppe von Anbietern soll verpflichtend das Alter von Nutzer*innen kontrollieren. Das entspräche jedoch im Tenor den Anforderungen aus bereits bestehenden EU-Gesetzen wie der Richtlinie über audiovisuelle Mediendienste und dem DSA.
Das steht auf dem Spiel
Alterskontrollen sind nicht nur ein Thema für Kinder und Jugendliche – es geht nämlich darum, alle Nutzer*innen zu kontrollieren, um Minderjährige herauszufiltern. Die deutsche Europa-Abgeordnete Birgit Sippel (SPD) warnt: „Eine verpflichtende Altersverifikation würde eine Ausweispflicht für weite Teile des Internets bedeuten, und zwar vor allem auch für Erwachsene.“ Diese Warnung würde jedoch voraussetzen, dass die EU eine Pflicht zu Alterskontrollen sehr streng auslegt.
Wenn bei Alterskontrollen die Plattformen zum Türsteher werden und Daten auch für andere Zwecken nutzen können, wäre das „höchst problematisch“, so Sippel weiter. Deshalb brauche es Safeguards wie das Zero-Knowledge-Prinzip. „Schließlich darf die Anonymität und Nutzung von Pseudonymen nicht gefährdet werden.“ Außerdem warnt die Abgeordnete davor, Alterskontrollen als Allheilmittel zu betrachten. „Um Kinder effektiv zu schützen, braucht es eine strukturelle Reform der Plattformen, damit Profit nicht mehr aus dem Geschäft mit missbräuchlichen Inhalten geschlagen werden kann.“ Abgeordnete aus anderen Fraktionen haben sich auf Anfrage von netzpolitik.org nicht geäußert.
Für European Digital Rights (EDRi), dem Dachverband von Organisationen für digitale Freiheitsrechte, beobachtet Politikberater Simeon de Brouwer das Gesetzesvorhaben. „Verpflichtende Altersverifikation bei Diensten für zwischenmenschliche Kommunikation ist gefährlich, weil sie die freie Rede unterdrückt“, warnt er. Je nach Art der Kontrollen könnten ganze Gesellschaftsgruppen ausgeschlossen werden – etwa Menschen ohne Papiere. Außerdem warnt er vor Einschüchterung („chilling effects“), wenn der Zugang zu sicherer Kommunikation hinter verpflichtenden Kontrollen steht.
Auch Alterskontrollen auf App-Marktplätzen lehnt de Brouwer ab. „Ein derartiges Maß an Kontrolle und aufdringlicher Datenverarbeitung sollte nicht normalisiert werden – besonders nicht an einem solchen Nadelöhr.“ Es entstehe keine Sicherheit, sondern Kontrolle, wenn der Zugang zu digitalen Werkzeugen vom Überwinden zentraler Prüfsysteme abhängig gemacht wird.
Svea Windwehr ist Co-Vorsitzende des Vereins für progressive Digitalpolitik D64. „Alle bekannten Technologien zur Altersbestimmung im Netz weisen signifikante Schwächen auf“, schreibt sie auf Anfrage. So seien etwa KI-gestützte Altersschätzungen häufig ungenau und „bergen massive Diskriminierungspotenziale, da ihre Leistung stark von Geschlecht, Alter, Hautfarbe und anderen Merkmalen abhängt“. Verifikation anhand von Ausweisdokumenten wiederum könne „eine signifikante Barriere für gesellschaftliche Teilhabe darstellen“.
Unterm Strich würden neue Pflichten zur Altersverifikation „einen Bärendienst für die Privatsphäre von jungen Menschen im Netz“ darstellen, warnt Windwehr. Vor allem würden sie nichts an den strukturellen Problemen ändern, die Plattformen zu unsicheren Räumen für Kinder machen können. „Der politische Anspruch sollte darin bestehen, an der Wurzel des Problems anzusetzen und Plattformen für ihre Produkte zur Verantwortung zu ziehen, statt vulnerable Nutzende auszuschließen.“
So geht es jetzt weiter
Beim Gesetz steht die EU unter gewissem Zeitdruck. Obwohl viele Dienstleister wie etwa Meta bereits jetzt eine freiwillige Chatkontrolle durchführen, fehlt dafür eine dauerhafte Rechtsgrundlage. Möglich ist die Maßnahme nur durch eine vorübergehende Ausnahmeregelung mit Blick auf die Datenschutz-Richtlinie für elektronische Kommunikation. Die Frist dafür endet jedoch im April 2026. Zumindest Kommission und Rat wollen sie um zwei Jahre verlängern; das Parlament müsste dem noch zustimmen.
Weil der Rat sich jahrelang nicht auf eine Position zur Chatkontrolle einigen konnte, war das ganze Gesetzesvorhaben für lange Zeit blockiert. Erst mit der Einigung auf die Ratsposition Ende November wurde der Weg frei für die informellen Trilog-Verhandlungen zwischen Kommission, Rat und Parlament. Beim Trilog versuchen die drei EU-Organe einen Kompromiss zu finden. Verhandelt wird hinter verschlossenen Türen. Dauer: ungewiss; ein Ergebnis ist nicht garantiert.
„Trotz der Differenzen zeigen das Europäische Parlament und der Rat die feste Absicht, intensiv an dem Vorschlag zu arbeiten und so schnell wie möglich eine Einigung zu erzielen“, sagte jüngst der spanische Abgeordnete Javier Zarzalejos (EVP) während einer Ausschuss-Sitzung am 27. Januar. Er ist der zuständige Berichterstatter der konservativen Fraktion im Parlament.
Nach dem ersten Verhandlungstermin am 9. Dezember sollen Verhandlungen auf technischer Ebene am 15. Januar begonnen haben. Aus diesen bis dato zwei Terminen könne Zarzalejos von „guter Atmosphäre und beachtlichem Fortschritt“ berichten. Diskutiert habe man bisher insbesondere das neue EU-Zentrum – das ist die geplante zentrale Anlaufstelle zur Umsetzung der Verordnung. Der nächste Trilog-Termin soll der 26. Februar sein.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Europol: Sitzt in Den Haag und gibt ungern etwas über seine Arbeit preis. – Alle Rechte vorbehalten Europol: Imago/Chromorange; Server: Unsplash / Taylor Vick
Eine neue Verordnung für die Polizeibehörde Europol soll eine gigantische Sammlung von Ermittlungsdaten legalisieren, die einzelne EU-Mitgliedsstaaten dort quasi geparkt hatten. Es handelt sich um vier Petabyte an Daten aus laufenden und abgeschlossenen Ermittlungsverfahren, darunter auch gestrichene Einträge aus Terrorlisten einzelner Staaten. In einigen Fällen weiß die Behörde selbst nicht genau, um was für Daten es sich handelt, wie sie einräumte. Erst Anfang Januar hatte der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski die Löschung aller Daten angeordnet, die nicht mit einer konkreten Straftat im Zusammenhang stehen.
Doch die Datensammlung, die Kritiker:innen als „Datenarche“ bezeichnen und mit der Speicherwut des US-Geheimnisses NSA vergleichen, dürfte unverändert bestehen bleiben und sogar ausgebaut werden. Am Dienstagabend einigten sich die EU-Staaten mit dem Parlament auf eine neue Verordnung, nach der Europol „weiterhin Ermittlungen auf der Grundlage dieser Daten unterstützen könnte“. Das teilte die französische Ratspräsidentschaft mit. Bis zur Wirksamkeit der neuen Verordnung sollen „Übergangsmaßnahmen“ die Datenarche vor Löschung bewahren.
Generell soll die Verordnung die Kompetenzen von Europol drastisch ausweiten. Künftig dürfe die Behörde mit Drittstaaten persönliche Daten zu Ermittlungszwecken austauschen, so die französischen Verhandler:innen. Auch dürfe Europol-Chefin Catherine De Bolle nationalen Behörden die Aufnahme von Ermittlungsverfahren in grenzüberschreitenden Kriminalfällen vorschlagen. Das wäre eine deutliche Ausweitung der bisherigen Befugnisse von Europol. Die nationalen Behörden sollen allerdings selbst entscheiden dürfen, ob sie dem Vorschlag nachkommen.
„Direkte Bedrohung für Rolle der Aufsichtsbehörde“
Der Datenschutzbeauftragte Wiewiórowski übte schon im Vorfeld Kritik an der neuen Verordnung. Sie gebe der EU-Polizeiagentur breite Befugnisse zur Datenspeicherung – ohne ausreichende Maßnahmen zum Schutz von Grundrechten. „Daten von Einzelpersonen ohne klare Verbindung zu Straftaten könnte genauso verarbeitet werden wie Daten von Verdächtigen oder Verurteilten“, sagte Wiewiórowski. Besonders empörend findet er, dass mit der Verordnung Gesetzesverletzungen rückwirkend legalisiert werden. Dies bedeute „eine direkte Bedrohung der Rolle der Aufsichtsbehörde“.
Auch aus dem EU-Parlament gibt es heftige Reaktionen. Aus Sicht der SPD-Abgeordneten Birgit Sippel verwendet Europol für die Rechtfertigung seiner Überwachung und massenhaften Datenspeicherung auf Vorrat „ähnliche Argumente“ wie die NSA. Dieses Vorgehen sei jedoch nicht mit der Datenschutzgrundverordnung vereinbar, sagte die Abgeordnete bei seiner Sitzung des Bürgerrechteausschusses im Parlament. Schwachstellen der Verordnung würden möglicherweise bald den Europäischen Gerichtshof beschäftigen, sagt Sippel gegenüber netzpolitik.org. „Rechtssicherheit sieht anders aus.“
Es handelte sich um massenhafte Daten unverdächtiger Personen, etwa um Handy-Bewegungsdaten und Flugreisedaten, sagt der EU-Abgeordnete Patrick Breyer von der Piratenpartei. „Die Konsequenz: Unschuldige Bürger laufen Gefahr, zu Unrecht in den Verdacht einer Straftat zu geraten, weil sie zur falschen Zeit am falschen Ort waren.“ Europol müsse „wirksam kontrolliert und an Gesetzesverstößen gehindert werden“, sagt Breyer. „Die bisher oberflächlichen Aufsichtsmechanismen haben keine Zähne bekommen, um illegale Praktiken der Behörde erkennen und stoppen zu können.“
Den Vergleich mit der NSA wies Europol-Vizechef Jürgen Ebner vor dem Ausschuss zurück. „Wir machen keine Massenüberwachung, auch können wir keine Zwangsmaßnahmen anordnen“, betonte er. „Wir haben nicht die technischen Mittel, um das zu machen.“ Die Software des umstrittenen US-Anbieters Palantir, die Europol 2016 eingekauft hatte, verwendet die Polizeibehörde inzwischen nicht mehr.
Ebenfalls auf Kritik der Abgeordneten stößt, dass die Verordnung Europol künftig breit die Kooperation mit Firmen möglich macht. Der Entwurf erlaubt Europol, persönliche Daten direkt von privaten Organisationen zu erhalten. Diese darf Europol analysieren und an die Behörden der Mitgliedsstaaten weitergeben. Der Abgeordnete Breyer, der Teil der Grünen-Fraktion ist, bringt diese Erlaubnis mit EU-Plänen in Verbindung, Diensteanbieter zur flächendeckenden Durchleuchtung privater Nachrichten auf Kindesmissbrauchsinhalte zu verpflichten. Diese Art der Kooperation sei inakzeptabel, sagt Breyer.
