Der europäische Datenschutzbeauftragte verlangt wirksame Schutzmaßnahmen gegen das wahllose massenhafte Scannen bei der freiwilligen Chatkontrolle. Die Ausnahmeerlaubnis für Konzerne wie Meta, Google oder Microsoft dürfe sonst nicht nochmals verlängert werden.

Eigentlich war sie nur als Ausnahme vorgesehen: Die Erlaubnis zur freiwilligen Chatkontrolle soll jedoch nochmals verlängert werden. Das hatte die EU-Kommission am 19. Dezember 2025 vorgeschlagen. Anbieter von Kommunikationsdiensten wie Meta, Google oder Microsoft dürften dann weiterhin auf freiwilliger Basis Scanning-Technologien einsetzen, um beispielsweise massenhaft Mitteilungen in Chats nach verbotenen Kindesmissbrauchsdarstellungen zu durchkämmen.

Wojciech Wiewiórowski, der europäische Datenschutzbeauftragte, schlägt nun in einer Stellungnahme rechtliche Einschränkungen an der Ausnahmeregelung vor. Sie sollen eine allgemeine und wahllose Überwachung unterbinden und die Risiken des Massen-Scannings besser berücksichtigen.

Der Jurist betont, dass diese Einschränkungen von den Konzernen auch „strikt eingehalten“ werden müssten. Eine bloße Verlängerung der Ausnahmeregelung ohne Maßnahmen zur Sicherstellung der Wirksamkeit bestehender und neuer Schutzvorkehrungen bliebe „hochproblematisch“.

Kein „wahlloses Scannen“

Der europäische Datenschutzbeauftragte verweist auch auf seine früheren rechtlichen Analysen. Denn Wiewiórowski hatte sich schon mehrfach ablehnend zur Regelung der massenhaften freiwilligen Chatkontrolle geäußert. Auch der europäische Datenschutzausschuss, in dem sich die nationalen Datenschutzbehörden abstimmen, mahnte in einer Stellungnahme einen besseren Schutz der Grundrechte und einschränkende Regeln an.

Denn flächendeckende automatisierte Chatkontrollen und massenhaftes Scannen sind grundrechtswidrig, weswegen es nur temporäre Ausnahmen in einer Übergangsverordnung gibt. Wiewiórowski betont nun erneut, dass im Falle einer nochmaligen Verlängerung der vorläufigen Erlaubnis zur Chatkontrolle die rechtlichen Mängel behoben, Schutzmaßnahmen eingebaut und „wahlloses Scannen“ verhindert werden sollten.

Der europäische Datenschutzbeauftragte besteht weiterhin auf seiner rechtlichen Einschätzung, dass keine vorübergehende Ausnahme angenommen werden sollte, solange diese Mängel nicht abgestellt seien. Bisher sei die wahllose Massenüberwachung nicht ausreichend rechtlich eingehegt.

Die zweite Verlängerung

In einer Pressemitteilung zu seiner Stellungnahme hatte Wiewiórowski die Bedeutung des Schutzes von Kindern vor Missbrauch betont, aber auch gefordert, dass dabei kein „rechtliches Vakuum“ entstehen dürfe. Denn auch „vorübergehende“ Maßnahmen dürften nicht „die Grundrechte außer Kraft setzen“. Diese Grundrechte sind in den Artikeln 7 und 8 der Charta der Grundrechte der Europäischen Union festgeschrieben. Es müsse sichergestellt sein, „dass das Scannen nicht wahllos erfolgt und dass es immer eine klare Rechtsgrundlage für die Verarbeitung personenbezogener Daten gibt“.

„Vorübergehend“ ist offenbar ein dehnbarer Begriff, denn die Ausnahme besteht bereits seit Juli 2021 und wurde im April 2024 für weitere zwei Jahre verlängert. Eigentlich war die nun wieder zur Verlängerung anstehende Übergangsregelung nur eine Art Vorläufer für eine seit 2022 geplante EU-Verordnung zur verpflichtenden Chatkontrolle.

Sie war von der EU-Kommission vorgeschlagen worden. Doch diese EU-Verordnung zur verpflichtenden Chat-Massenüberwachung wurde bisher nicht geschaffen, sondern mündete aufgrund der massiven Kritik an diesem Überwachungsprojekt in ein langjähriges und noch immer nicht abgeschlossenes politisches Hickhack, an dem gleich mehrere EU-Ratspräsidentschaften scheiterten.

Kein Nachweis, dass Massen-Scans verhältnismäßig sind

Das EU-Parlament wird wohl im März entscheiden, ob es einer einjährigen Verlängerung der Übergangsverordnung zustimmt, die nun das automatisierte Text-Analysieren bei Nachrichten ausschließen könnte und das Scannen nur auf bekannte Hash-Werte beschränken soll.

So schlug es zuletzt Birgit Sippel vor. Die Sozialdemokratin (S&D) ist die Berichterstatterin zur freiwilligen Chatkontrolle im EU-Parlament. Der zuständige LIBE-Ausschuss der EU-Parlaments wird Sippels Vorschlag aber noch inhaltlich beraten.

Es bliebe selbst in dieser abgespeckten Variante dabei, dass den Konzernen massenhaftes Scannen „vorübergehend“ erlaubt wird. Dass dies verhältnismäßig ist, konnte die EU-Kommission aber auch nach mehr als vier Jahren Massen-Scans nicht nachweisen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Eigentlich sollte heute feststehen, wer bald das Amt des Europäischen Datenschutzbeauftragten übernimmt. Erstmals aber haben EU-Parlament und Mitgliedstaaten für unterschiedliche Kandidaten gestimmt. Nun müssen die beiden miteinander verhandeln.

Wer wird neuer Europäischer Datenschutzbeauftragter? Diese Frage sollten gestern und heute Parlament und Rat klären. Sie ernennen zusammen den Beamten, der darüber wacht, dass sich die EU-Institutionen an den Datenschutz halten. Dabei kam es heute aber zu einer noch nie dagewesenen Situation: Parlament und Rat stimmten für unterschiedliche Personen.

Der Innenausschuss des EU-Parlaments hatte gestern für Bruno Gencarelli gestimmt. Gencarelli ist momentan in der EU-Kommission für Datenschutzpolitik zuständig und verhandelte verschiedene internationale Abkommen zum Datenaustausch.

Die Mitgliedstaaten im Rat wählten heute dagegen den aktuellen Amtsinhaber Wojciech Wiewiórowski. Er ist seit 2019 Europäischer Datenschutzbeauftragter und hat in dieser Zeit EU-Institutionen einige Male die Zähne gezeigt. So wies er etwa im vergangenen Jahr die EU-Kommission an, dass sie mit Microsofts Office-Suite keine Daten mehr in die USA übertragen dürfte.

Polnische Verbindung

Die Abgeordneten im Parlament hatten gestern mit 32 Stimmen Gencarelli unterstützt. Wiewiórowski hatte 26 Stimmen erhalten, der französische Datenschützer François Pellegrini 30 Stimmen. Anna Pouliou leitet aktuell den Datenschutz am CERN-Forschungszentrum, für sie votierten 11 Abgeordnete.

Die Mitgliedstaaten stimmten heute im Ausschuss der Ständigen Vertreter ab. Darin sitzen quasi die EU-Botschafter der Mitgliedstaaten. Dort erhielt Wiewiórowski die meisten Stimmen, gefolgt von Gencarelli, Pellegrini und Pouliou. Ein Umstand dürfte Wiewiórowski dabei hilfreich gewesen sein: Er kommt aus Polen. Polen hat momentan den alle sechs Monate rotierenden Vorsitz des EU-Rats inne. Damit hat das Land zusätzlichen Einfluss – und ein Interesse daran, Landsleute in mächtige Positionen zu bringen oder sie dort zu halten.

Das Gesetz schreibt aber vor, dass Parlament und Rat den Posten des Datenschutzbeauftragten „im gegenseitigen Einvernehmen“ besetzen. Die beiden Institutionen müssen also nun verhandeln und sich auf einen gemeinsamen Kandidaten einigen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Eine neue Verordnung für die Polizeibehörde Europol soll eine gigantische Sammlung von Ermittlungsdaten legalisieren, die einzelne EU-Mitgliedsstaaten dort quasi geparkt hatten. Es handelt sich um vier Petabyte an Daten aus laufenden und abgeschlossenen Ermittlungsverfahren, darunter auch gestrichene Einträge aus Terrorlisten einzelner Staaten. In einigen Fällen weiß die Behörde selbst nicht genau, um was für Daten es sich handelt, wie sie einräumte. Erst Anfang Januar hatte der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski die Löschung aller Daten angeordnet, die nicht mit einer konkreten Straftat im Zusammenhang stehen. 

Doch die Datensammlung, die Kritiker:innen als „Datenarche“ bezeichnen und mit der Speicherwut des US-Geheimnisses NSA vergleichen, dürfte unverändert bestehen bleiben und sogar ausgebaut werden. Am Dienstagabend einigten sich die EU-Staaten mit dem Parlament auf eine neue Verordnung, nach der Europol „weiterhin Ermittlungen auf der Grundlage dieser Daten unterstützen könnte“. Das teilte die französische Ratspräsidentschaft mit. Bis zur Wirksamkeit der neuen Verordnung sollen „Übergangsmaßnahmen“ die Datenarche vor Löschung bewahren.

Generell soll die Verordnung die Kompetenzen von Europol drastisch ausweiten. Künftig dürfe die Behörde mit Drittstaaten persönliche Daten zu Ermittlungszwecken austauschen, so die französischen Verhandler:innen. Auch dürfe Europol-Chefin Catherine De Bolle nationalen Behörden die Aufnahme von Ermittlungsverfahren in grenzüberschreitenden Kriminalfällen vorschlagen. Das wäre eine deutliche Ausweitung der bisherigen Befugnisse von Europol. Die nationalen Behörden sollen allerdings selbst entscheiden dürfen, ob sie dem Vorschlag nachkommen.

„Direkte Bedrohung für Rolle der Aufsichtsbehörde“

Der Datenschutzbeauftragte Wiewiórowski übte schon im Vorfeld Kritik an der neuen Verordnung. Sie gebe der EU-Polizeiagentur breite Befugnisse zur Datenspeicherung – ohne ausreichende Maßnahmen zum Schutz von Grundrechten. „Daten von Einzelpersonen ohne klare Verbindung zu Straftaten könnte genauso verarbeitet werden wie Daten von Verdächtigen oder Verurteilten“, sagte Wiewiórowski. Besonders empörend findet er, dass mit der Verordnung Gesetzesverletzungen rückwirkend legalisiert werden. Dies bedeute „eine direkte Bedrohung der Rolle der Aufsichtsbehörde“.

Auch aus dem EU-Parlament gibt es heftige Reaktionen. Aus Sicht der SPD-Abgeordneten Birgit Sippel verwendet Europol für die Rechtfertigung seiner Überwachung und massenhaften Datenspeicherung auf Vorrat „ähnliche Argumente“ wie die NSA. Dieses Vorgehen sei jedoch nicht mit der Datenschutzgrundverordnung vereinbar, sagte die Abgeordnete bei seiner Sitzung des Bürgerrechteausschusses im Parlament. Schwachstellen der Verordnung würden möglicherweise bald den Europäischen Gerichtshof beschäftigen, sagt Sippel gegenüber netzpolitik.org. „Rechtssicherheit sieht anders aus.“

Es handelte sich um massenhafte Daten unverdächtiger Personen, etwa um Handy-Bewegungsdaten und Flugreisedaten, sagt der EU-Abgeordnete Patrick Breyer von der Piratenpartei. „Die Konsequenz: Unschuldige Bürger laufen Gefahr, zu Unrecht in den Verdacht einer Straftat zu geraten, weil sie zur falschen Zeit am falschen Ort waren.“ Europol müsse „wirksam kontrolliert und an Gesetzesverstößen gehindert werden“, sagt Breyer. „Die bisher oberflächlichen Aufsichtsmechanismen haben keine Zähne bekommen, um illegale Praktiken der Behörde erkennen und stoppen zu können.“

Den Vergleich mit der NSA wies Europol-Vizechef Jürgen Ebner vor dem Ausschuss zurück. „Wir machen keine Massenüberwachung, auch können wir keine Zwangsmaßnahmen anordnen“, betonte er. „Wir haben nicht die technischen Mittel, um das zu machen.“ Die Software des umstrittenen US-Anbieters Palantir, die Europol 2016 eingekauft hatte, verwendet die Polizeibehörde inzwischen nicht mehr.

Ebenfalls auf Kritik der Abgeordneten stößt, dass die Verordnung Europol künftig breit die Kooperation mit Firmen möglich macht. Der Entwurf erlaubt Europol, persönliche Daten direkt von privaten Organisationen zu erhalten. Diese darf Europol analysieren und an die Behörden der Mitgliedsstaaten weitergeben. Der Abgeordnete Breyer, der Teil der Grünen-Fraktion ist, bringt diese Erlaubnis mit EU-Plänen in Verbindung, Diensteanbieter zur flächendeckenden Durchleuchtung privater Nachrichten auf Kindesmissbrauchsinhalte zu verpflichten. Diese Art der Kooperation sei inakzeptabel, sagt Breyer.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.