„Chat Control“ ist ein Entwurf für eine EU-Verordnung (von der Kommission am 11. Mai 2022 vorgeschlagen), die einen Rechtsrahmen für das Erkennen, Melden und Entfernen von Darstellungen sexualisierter Gewalt gegen Kinder im Netz (CSAM) schaffen würde. In seiner umstrittensten Ausprägung verpflichtet der Entwurf Messenger und Online-Dienste dazu, automatisch alles zu scannen, was Nutzende versenden – Texte, Bilder, Videos – auch in Gesprächen, die privat und Ende-zu-Ende-verschlüsselt bleiben sollen. Technisch wird die Überwachung an die Quelle verlagert: auf Ihr eigenes Gerät, noch bevor die Verschlüsselung Ihre Nachrichten schützt („Client-Side-Scanning“, kurz CSS). Datenschutzbehörden und der Juristische Dienst des Rates haben diese Herangehensweise als problematisch eingestuft, weil sie auf generalisierte Durchsuchungen ohne vorherigen individuellen Verdacht hinausläuft.

Praktisch eingebaut ist in der Messenger-App ein Modul, das für jedes Bild eine „Fingerabdruck“-Signatur (perzeptueller Hash) berechnet bzw. jede Nachricht vor dem Senden analysiert und das Ergebnis mit Referenzdatenbanken abgleicht (CSAM-Hash-Kataloge, Musterlisten, ML-Modelle). Hält der Algorithmus einen Treffer für wahrscheinlich, erstellt er einen Bericht und stößt eine Meldekette an ein zuständiges Zentrum oder die Behörden an. Das Problem ist grundsätzlicher und praktischer Natur: Grundsätzlich werden Sie permanent gescannt – ohne Bezug zu einem Ermittlungsverfahren; praktisch sind diese Systeme weder perfekt noch neutral. Die Forschung zeigt strukturelle Schwachstellen: Man kann massenhaft Fehlalarme erzeugen, Hash-Sätze vergiften oder ein „verdecktes Ziel“ (z. B. gezichtsbezogene Erkennung) in ein Hash-Verfahren einbetten, das angeblich nur CSAM sucht. Fehler passieren – mit realen Folgen (Kontensperren, unbegründete Ermittlungen). Schon 2022 kam es vor, dass Google Väter meldete, die auf ärztliche Bitte hin medizinische Fotos ihrer Kinder gemacht hatten; die Konten wurden geschlossen und der Verdacht hielt an, obwohl die Fälle eingestellt wurden.

Zentral geht es um das Fernmeldegeheimnis und den Datenschutz. Die Charta der Grundrechte der EU (Art. 7 und 8) und die EMRK (Art. 8) schützen Privatheit und die Integrität der Kommunikation. Der EuGH hat wiederholt allgemeine, unterschiedslose Überwachungsmechanismen untersagt – selbst bei legitimen Zielen –, weil sie nicht zielgerichtet und unverhältnismäßig sind (Digital Rights Ireland, Tele2 Sverige). Kurz: Man darf nicht eine ganze Bevölkerung „auf Verdacht“ durchleuchten. EDPB und EDPS warnten ausdrücklich, dass der Vorschlag in der vorliegenden Form faktisch nahezu alle Kommunikationsinhalte erfassen würde und die Meinungsfreiheit (Journalismus, NGOs, geschützte Berufe) spürbar abkühlen ließe.

Vieles spricht dagegen, sofern unterschiedslose Erkennung verpflichtend wird. Der Juristische Dienst des Rates hat die Grundrechtseingriffe betont, wenn interpersonelle Inhalte ohne Zielgerichtetheit gescannt werden. Das Parlament (Ausschuss LIBE) hat im November 2023 Massen-Scans abgelehnt und Ende-zu-Ende-Verschlüsselung ausdrücklich geschützt. Das heißt nicht, dass jegliche Erkennung unmöglich wäre – aber sie müsste streng zielgerichtet, verhältnismäßig und unter robuster richterlicher Kontrolle stehen. Jede Lösung, die Verschlüsselung durch systematisches Scannen auf dem Endgerät umgeht, kollidiert mit diesen Prinzipien.

Eine Verordnung ist ein Rechtsakt der EU (Art. 288 AEUV) mit allgemeiner Geltung, in all ihren Teilen verbindlich und in jedem Mitgliedstaat unmittelbar anwendbar. Anders als eine Richtlinie braucht sie keine nationale Umsetzung: Sie gilt überall gleich – zur selben Zeit und in derselben Weise. Die EU nutzt sie, wenn sie eine einheitliche Regel für den gesamten Markt und alle Bürgerinnen und Bürger will.

Die Kommission legt den Entwurf vor. Danach entscheiden das Europäische Parlament (gewählte Abgeordnete) und der Rat der EU (Minister der Mitgliedstaaten) gemeinsam im ordentlichen Gesetzgebungsverfahren. In der Praxis geschieht das über Lesungen, Änderungen und oft „Triloge“ zwischen Kommission–Rat–Parlament. Kommen Parlament und Rat nicht zum selben Text, wird die Verordnung nicht angenommen. Das Ergebnis ist also ein politischer Kompromiss zwischen Regierungen und Gewählten.

Nach dem Vorschlag von 2022 gab es 2024 mehrere politische Blockaden. Seit Juli 2025 hat das Dossier unter dänischer Ratspräsidentschaft wieder Fahrt aufgenommen: Fachmedien berichten von dem politischen Ziel, im Herbst eine Einigung zu erzielen; als mögliches Datum für eine Abstimmung wird um den 14. Oktober 2025 genannt, mit sich verhärtenden Positionen im September. Nichts ist entschieden: Die Parlamentsposition schützt E2EE, und im Rat verschiebt sich das Gleichgewicht mit nationalen Koalitionen; einige Hauptstädte hatten in der Vergangenheit bereits „Sperrminoritäten“ gebildet. Der Kalender zieht an, und technische Abwägungen (Opt-in-Scan? Begrenzung auf bekannte Bilder? Ausschluss von Grooming?) sind weiterhin umstritten.

Das Kräfteverhältnis im Rat hat sich seit Juli 2025 spürbar verschoben. Unter dänischer Präsidentschaft liegt ein neuer Text vor – stark angelehnt an die belgischen und ungarischen Kompromisse von 2024 –, der verpflichtende Scans (auch vor der Verschlüsselung) und eine Risikoklassifizierung pro Dienst wieder aufgreift. Ein internes Protokoll der Sitzung der Arbeitsgruppe „Strafverfolgung“ vom 11. Juli 2025, veröffentlicht von netzpolitik.org, fasst zusammen: Eine Mehrheit der Staaten „kann mit dem dänischen Vorschlag leben“, eine Sperrminorität bleibt, und einige Unentschlossene (Deutschland, Frankreich, Belgien, Finnland, Luxemburg, Estland, Tschechien …) sind ausschlaggebend.

Anschaulich zeigt die Karte vom Juli 2025 des Abgeordneten Patrick Breyer, welche Regierungen „zustimmend“, „ablehnend/neutral“ oder „unentschieden“ sind. Sie ist aktivistisch gefärbt, hilft aber zur Orientierung.

Explizit „zustimmend“ (11.07. oder positiv zum dänischen Text) … Italien, Spanien, Ungarn, Lettland, Litauen, Zypern, Kroatien, Schweden (Regierungsunterstützung, parlamentarisches Go nötig), Dänemark (Autor des Textes). Frankreich erklärte, es sei bereit, den Text „im Grundsatz zu unterstützen“, insbesondere die Verlängerung des Übergangsregimes – damit derzeit eher im zustimmenden Lager. Portugal ist „sehr positiv“, äußert aber Vorbehalte beim Verschlüsselungs-Teil.
„Gegen“ (oder in Kernpunkten kritisch) … Polen (lehnt Pflicht-Scans und Einbeziehung von E2EE ab; verweist auf Cybersicherheits-Risiken und die Unwirksamkeit erzwungener „Einwilligung“), Österreich (parlamentarisch festgelegt gegen CSS und gegen eine Schwächung der Verschlüsselung), Niederlande (starke Bedenken bei „Detection Orders“ und CSS). Slowenien und Luxemburg äußern ernsthafte Zweifel an Verhältnismäßigkeit und Client-Side-Scanning.
„Unentschieden / in Prüfung“ (oder intern gespalten) … Deutschland (neue Koalition noch in der Abwägung, historisch gegen E2EE-Scans), Belgien (innenpolitisch „schwieriges“ Umfeld nach dem 2024er Kompromiss), Estland (Sicherheits- vs. Datenschutzlinie bei CSS), Finnland (Text „eher problematisch“, in Prüfung), Tschechien (Wahlkampf, Position ausstehend), Irland (begrüßt Cybersicherheits-Vorkehrungen, bleibt vorsichtig), Slowakei (ambitionsfreundlich, aber offen für Gegenargumente), Rumänien (im genannten Protokoll nicht erwähnt). Wichtig: Der Juristische Dienst des Rates hält CSS weiterhin für grundrechtswidrig – das wiegt bei den Unentschlossenen.

Fazit: Die Annahme hängt an wenigen Hauptstädten (Paris, Berlin, Brüssel, Helsinki, Luxemburg, Prag, Dublin). Und selbst bei den „Zustimmenden“ könnten nationale Parlamente Auflagen einziehen. Für einen groben Überblick: Karte Juli 2025 (indikativ).

Apple. Gab 2022 den Plan zur CSAM-Erkennung in iCloud Photos (On-Device-Scan) auf – begrüßt von Verschlüsselungs-Verfechtern. Seither betont Apple die Stärkung der E2EE (Advanced Data Protection). Das bleibt unvereinbar mit generalisiertem CSS; im Fokus steht systemische Sicherheit statt KI-Scans auf Endgeräten.

Meta / WhatsApp. Klare Linie: keine Hintertüren, keine auferlegten Scans, die E2EE schwächen. Will Cathcart bekräftigte, dass man die Verschlüsselung nicht „brechen“ werde – ähnlich in UK/EU-Debatten. Tech-Medien weisen darauf hin, dass CSS WhatsApps Vertraulichkeitsversprechen untergräbt.

Google. Verteidigt E2EE (u. a. in Messages/RCS) und setzt generell serverseitiges Hashing dort ein, wo es rechtmäßig und verhältnismäßig ist – ohne die universelle E2EE zu beschädigen. Europäische Analysen betonen die Grenzen von PhotoDNA-Techniken (hilfreich bei bekanntem Material, nicht bei „unbekanntem“ oder „Grooming“) – ein Kernargument gegen generalisiertes CSS.

Microsoft. Langjähriger Förderer von PhotoDNA (Erkennung per Hashes bereits bekannter Inhalte, kein CSS). In der EU plädiert Microsoft für verhältnismäßige Regeln und für Nachweis/Provenienz-Tools – nicht für das Scannen sämtlicher E2EE-Chats in Echtzeit. PhotoDNA ist nicht mit CSS für „Unbekanntes“ gleichzusetzen.

Signal. Harte Linie: verlässt eher einen Markt, als E2EE zu schwächen. Meredith Whittaker bekräftigte, dass Signal kein verpflichtendes CSS oder „Ausnahmen“ von E2EE integrieren werde.

Threema. Lehnt „Chat Control“ klar ab und warnt vor systemischer Unsicherheit durch CSS.

Element / Matrix. Warnt vor der Rückkehr zu Massen-Scans und Schäden fürs Open-Source-Ökosystem (Self-Hosting, Föderation), wo CSS client/serverseitig unrealistisch und gefährlich wäre.

Proton (Mail/Drive/Pass/VPN). Begrüßt die Parlamentslinie 2023, E2EE vom Erkennungsumfang auszunehmen, und hält CSS technisch wie rechtlich für nicht tragfähig.

Telegram. Keine klare EU-weite Position zu CSS; Verschlüsselung ist nicht in allen Chats standardmäßig aktiv – ein Hybridfall.

Gesamttendenz: Echt E2EE-basierte Dienste lehnen Pflicht-CSS ab. Bei „Big Tech“ ist die öffentliche Linie: E2EE schützen, kein generalisiertes Client-Side-Scanning.

Mit generalisiertem Client-Side-Scanning würde jedes Gerät zu einer dauerhaften Kontrollstelle. Ihre Nachrichten und Fotos würden vor der Verschlüsselung gesiebt; Fehler könnten Meldungen auslösen – Kontoschließungen, Sperren essenzieller Dienste (Mail, Cloud), bis hin zu Ermittlungen. Dokumentierte Fälle zeigen, wie solche Fehler binnen Stunden ein digitales Leben ruinieren können. Darüber hinaus schwächt eine aufgeweichte E2EE das Gesamtsystem: mehr Code, mehr Angriffsflächen, mehr Risiko. Für geschützte Berufe (Anwältinnen/Anwälte, Ärztinnen/Ärzte, Journalistinnen/Journalisten) wird das Berufsgeheimnis direkt unterminiert; für Betroffene von Gewalt oder Aktivistinnen/Aktivisten gehen sichere Räume verloren. Und im industriellen Maßstab leidet das Vertrauen in europäische digitale Dienste, würde die EU als erste Demokratie Massen-Scans vorschreiben.

Nein, nicht einseitig. Wird eine Verordnung angenommen, hat sie Vorrang vor entgegenstehendem nationalem Recht (Vorrang des Unionsrechts) und gilt unmittelbar. Ein Staat kann keine nationale Ausnahme schaffen, ohne ein Vertragsverletzungsverfahren der Kommission und am Ende eine EuGH-Entscheidung zu riskieren. Vor der Annahme kann Frankreich jedoch im Rat Einfluss nehmen, Koalitionen bilden und ändern oder blockieren; nach der Annahme kann es vor dem EuGH klagen (Nichtigkeitsklage) oder – falls der Text Spielräume lässt – maximal mögliche Sicherungen ausgestalten (starke richterliche Kontrolle, öffentliche Audits, Ausschluss von CSS usw.). Ein nationales Totalverbot einer unionsrechtlich vorgeschriebenen Pflicht wäre jedoch unionsrechtswidrig.

Ja. Im europäischen Recht gehören das Kommunikationsgeheimnis und die Vertraulichkeit des Mandatsverhältnisses zum Kern des Privatheitsrechts (Charta, EMRK Art. 8). Der EGMR räumt dem Anwaltsgeheimnis einen „verstärkten“ Schutz ein: Ohne Vertraulichkeit sind Verteidigungsrechte und Investigativ-Journalismus illusorisch. Ebenso fordert die ePrivacy die Vertraulichkeit elektronischer Kommunikation. Client-Side-Scanning fügt einen Mechanismus ein, der Nachrichten vor der Verschlüsselung inspiziert – und schwächt damit zwangsläufig die Vertraulichkeit, auch bei geschützten Berufen. EDPB/EDPS warnten: Das Erzwingen von Erkennungstechnologie bei Messengern kann zu einem nahezu generalisierten Durchkämmen der Kommunikation führen – mit bedenklichen Fehlerraten. Anders gesagt: Selbst „Ausnahmen auf dem Papier“ ändern wenig daran, dass ein allgemeiner On-Device-Scanner schwer mit der in Europa geschützten beruflichen Verschwiegenheit vereinbar ist.

Weil ein Grundrecht nicht davon abhängt, was Sie zu verbergen haben, sondern welche Macht Staat oder Unternehmen über Ihr Leben ausüben können. Präventive Überwachung aller schwächt die Unschuldsvermutung, kühlt die freie Rede ab und vervielfacht Fehler. Erkennungstechniken „finden“ auch Unschuldige: Fehlalarme lösen Meldungen, Kontoschließungen und Ermittlungen aus – mit realen Schäden. Auch operativ gilt: Ein Flut an zweifelhaften Alerts bindet Ressourcen, die echten Fällen fehlen. Europäische Datenschutzbehörden verweisen auf weiterhin bedenkliche Fehlerraten bei „neuen“ Inhalten. Und Vertraulichkeit schützt auch andere: Betroffene von Gewalt, Aktivistinnen/Aktivisten, medizinische und juristische Berufe, Whistleblower, Journalistinnen/Journalisten. Schwächen wir eine Gruppe, schwächen wir alle.

Das Ziel teilt jede:r. Die Frage ist die tatsächliche Wirksamkeit – und die gesellschaftlichen Kosten. Technische Analysen zeigen: CSS zieht das Netz extrem weit, erzeugt viele Fehlalarme und lässt sich von entschlossenen Tätern umgehen (geschlossene Netze, Tools außerhalb der EU, adversariales ML). Jeder Fehlalarm frisst Ermittlungszeit und verzögert echte Fälle. Es gibt wirksame, gezielte Ansätze: mehr Personal und Justizressourcen, zielgerichtete Ermittlungen und Infiltrationen, fokussierte internationale Zusammenarbeit, Bekämpfung an der Quelle, Aufklärung – und Priorisierung wirklich verwertbarer Meldungen. Kurz: wirksame, verhältnismäßige Instrumente statt eines wahllosen Bevölkerungsscans.

Im Juni 2025 veröffentlichte die Kommission eine „Roadmap“ für einen „rechtmäßigen und wirksamen Datenzugang“ der Strafverfolgung. Darin u. a. ein Technologie-Fahrplan zur Verschlüsselung ab 2026 und die Finanzierung von Entschlüsselungskapazitäten bis 2030 (z. B. bei Europol). Dieser strategische Rahmen erhöht den politischen Druck auf Ende-zu-Ende-Verschlüsselung und erklärt mit, warum kurzfristig ein Text wie der CSAR durchgebracht werden soll. Wichtig: Starke Verschlüsselung schützt auch Krankenhäuser, Unternehmen, Verwaltung und Bürger:innen vor Kriminalität und Spionage. Sie im Namen „rechtmäßigen Zugangs“ zu schwächen, schafft Lücken – auch für Angreifer.

Der Aufbau und Betrieb lägen weitgehend bei privaten Akteuren: großen Konzernen (Apple, Meta, Microsoft, Google) und Spezialfirmen (z. B. PhotoDNA/MS). Drei Hauptprobleme: Erstens Transparenz – Modelle, Schwellen und Trainingsdaten sind Geschäftsgeheimnisse und schwer auditierbar. Zweitens Abhängigkeit – die EU lagerte eine staatliche Kernfunktion (Erkennung) an überwiegend außereuropäische Anbieter aus, mit einseitigen Updates und importierten Verzerrungen. Drittens Zweckentfremdung (function creep) – steht die Infrastruktur einmal, lässt sich der Anwendungsbereich leicht ausweiten (Terrorismus, „Desinformation“, Betrug …), sofern keine strengen, einklagbaren Grenzen bestehen. Apples Episode 2021 illustriert das: Angekündigter On-Device-CSAM-Scan, später Rückzug nach massiver Kritik von Kryptograf:innen und Aufsehern – wegen der Drift-Risiken und der Schwierigkeit, enge Grenzen glaubhaft zu sichern.

Regierungen und Datenschutzaufsichten – u. a. in Deutschland, den Niederlanden und anderswo – haben grundlegende Einwände: Unvereinbarkeit mit Grundrechten, technische Unsicherheit, operative Ineffektivität (zu viele Meldungen und Fehlalarme). Der deutsche Justizminister sagte etwa, „Chat Control“ habe in einem Rechtsstaat keinen Platz; die niederländische Kammer bremste frühere Fassungen. Das Bild ist jedoch in Bewegung: Einige Länder, die 2024 bremsten, unterstützen inzwischen Kompromisse, die CSS wieder einführen. Umso wichtiger ist es, die Haltung der eigenen Regierung aktuell zu verfolgen.

Referenz ist weiterhin die Parlamentsposition vom November 2023 (LIBE + Verhandlungsmandat): keine Massenüberwachung, E2EE außerhalb des Erkennungsumfangs, Zielmaßnahmen auf Basis eines begründeten Verdachts. Diese Linie trugen breite Teile der Fraktionen (Grüne/EFA, The Left, S&D und große Teile von Renew) – sie widerspricht generalisiertem CSS.

Nach der Europawahl 2024 wurden die französischen Delegationen der Legislatur 2024–2029 neu besetzt (RN/Patriots for Europe, LR/EVP, Renaissance-MoDem-Horizons/Renew, PS-Place Publique/S&D, LFI/The Left, Écologistes/Grüne). Bislang folgen die meisten öffentlichen Positionen den Fraktionslinien:
• Grüne/EFA und The Left (LFI): klare Ablehnung von CSS und jeder Schwächung der E2EE; Unterstützung der LIBE-Linie 2023.
• S&D (PS/Place Publique) und Renew (Renaissance/Modem/Horizons): überwiegend deckungsgleich mit LIBE 2023 (E2EE schützen, gezielte Ansätze), einzelne Abgeordnete offen für sehr eng begrenzte Maßnahmen zu bekanntem Material unter richterlicher Kontrolle.
• EVP (Les Républicains): gespalten zwischen „Sicherheits“-Ansatz (für Erkennungspflichten) und „Rechtsstaat/Technik“-Bedenken (Verhältnismäßigkeit, Sicherheit der Verschlüsselung).
• Patriots for Europe / ID-Tradition (RN, Verbündete): je nach Dossier Sicherheit/Privatsphäre heterogen; keine einheitliche französische Linie zugunsten von Pflicht-CSS zum aktuellen Zeitpunkt.
• ECR: eher für stärkere Ermittlungswerkzeuge, jedoch nicht um den Preis einer allgemeinen Hintertür in E2EE (interne Nuancen).

Erklären Sie den Mechanismus ohne Jargon: „Es soll Software auf unsere Telefone, die unsere Nachrichten liest, bevor sie verschlüsselt werden – um das, was wir senden, mit Bilddatenbanken und automatischen Modellen zu vergleichen. Irrt die Maschine, kann sie uns fälschlich melden.“ Dann den Kern: „Es geht nicht um ein Dafür oder Dagegen bei Kinderschutz, sondern um die Methode: Alle immer zu scannen ist unverhältnismäßig und ineffektiv. Täter passen sich an; meanwhile wird die Sicherheit und Privatsphäre aller geschwächt.“ Schließlich die Lösung: „In Menschen und Justiz investieren, Ermittlungen zielgerichtet führen, grenzüberschreitend kooperieren, Inhalte an der Quelle entfernen, aufklären und vorbeugen – ohne die Verschlüsselung zu brechen.“ Für ein 30-Sekunden-Argument:
„‚Chat Control‘ ist ein Scanner auf unseren Handys, der Nachrichten vor dem Senden liest. Er kann sich irren und Unschuldige melden. Er bricht die Vertraulichkeit (Ärzt:innen, Anwält:innen, Journalist:innen) und schafft Angriffsflächen. Kinder schützen – ja, mit wirksamen, gezielten Mitteln, nicht durch Überwachung von 450 Millionen Europäer:innen.“
Für längere Gespräche helfen anschauliche Bilder: „Würden Sie akzeptieren, dass ein*e Beamt*in all Ihre Briefe öffnet – nur für den Fall?“ Erinnern Sie daran, dass in Europa die Vertraulichkeit der Kommunikation und die berufliche Verschwiegenheit geschützte Rechte sind – und dass Datenschutzbehörden vor Fehlern und Zweckentfremdung warnten. Bieten Sie eine klare Aktion an: die Petition unterschreiben, MdEPs schreiben, im Job und in der Schule darüber sprechen und Messenger bevorzugen, die sich öffentlich gegen Pflicht-CSS aussprechen.