Client-Side-Scanning

Europäische Union

In der EU dürfen Unternehmen auf der Grundlage einer Ausnahmeregelung von der Datenschutzrichtlinie für elektronische Kommunikation eine Chatkontrolle durchführen. Diese Ausnahmeregelung läuft im August 2024 aus, eine Verlängerung ist vorgesehen. Die Europäische Kommission will die Chatkontrolle dauerhaft verpflichtend machen, hat aber Schwierigkeiten, die nötigen Mehrheiten zu erzielen. Das Vorhaben stößt auf breite Kritik.^[3]

Am 11. Mai 2022 legte die Europäische Kommission einen Gesetzesentwurf für eine sogenannte Chatkontrolle vor, der die Betreiber von Messengern zum Scannen auf Kinderpornografie verpflichtet.^[4] Eine genaue Technologie schreibt dieser nicht vor. Möglich sind das Aufweichen kryptografischer Protokolle oder eben Client-Side-Scanning, z. B. mittels Hashabgleich.^[5]

Die Mitgliedsstaaten der EU waren in der Frage Stand Februar 2023 noch zwiegespalten: gegen die Chatkontrolle traten damals vor allem Deutschland, Frankreich und Slowenien ein sowie Österreich, die Niederlande und Lettland, eindeutig für die Chatkontrolle hingegen Spanien, Kroatien, Griechenland, Litauen und Zypern.^[6] Im Mai 2023 positionierten sich in einem gemeinsamen Papier zehn Staaten für die Einführung: Belgien, Bulgarien, Zypern, Ungarn, Irland, Italien, Lettland, Litauen, Rumänien und Spanien.^[7] Stand Juni 2023 war die eindeutige Mehrheit der Staaten für die Einführung, darunter nun auch Frankreich, Slowenien und Lettland.^[8] In vielen Staaten, darunter Deutschland, kam es zu unterschiedlichen Meinungen innerhalb der Regierungskoalitionen: Oft steht ein die Pläne unterstützendes Innenministerium einem die Pläne ablehnenden Justizministerium gegenüber.^[9] In Deutschland wurden im Koalitionsvertrag der Bundesregierung unter Olaf Scholz „allgemeine Überwachungspflichten, Maßnahmen zum Scannen privater Kommunikation und eine Identifizierungspflicht“ abgelehnt, und es wurde erklärt, dass „anonyme und pseudonyme Online-Nutzung“ gewahrt bleiben wird.^[10]

Im Mai 2023 bezeichnete der Juristische Dienst des EU-Rats die Pläne als grundrechtswidrig und schloss sich damit anderen Juristen, den deutschen und europäischen Datenschutzbeauftragten sowie den Wissenschaftlichen Diensten von Bundestag und EU-Parlament an.^[11]

Am 25. Oktober 2023 musste sich die EU-Innenkommissarin Ylva Johansson, Verfechterin der Chatkontrolle, vor dem EU-Innenausschuss wegen Lobby-Verflechtungen mit Ashton Kutchers Organisation „Thorn“ und politischem Mikrotargeting rechtfertigen^[12].

Der europäische Datenschutz-Beauftragte Wojciech Wiewiórowski lehnt die Chatkontrolle mit der Begründung ab, dass die geplanten technischen Maßnahmen ineffizient seien, und darüber hinaus selbst die freiwilligen Pläne zu weit gingen. Er äußerte, das Ziel, sexuellen Missbrauch von Kindern zu bekämpfen, müsse mit den notwendigen Schutzmaßnahmen für die private Kommunikation von Einzelpersonen und damit ihrer Grundrechte auf Privatsphäre verfolgt werden^[13].

Inzwischen lehnen neben europäischen Datenschutzbehörden, darunter auch die deutsche, sowie mehr als 100 internationale Digital- und Bürgerrechtsorganisationen die Chatkontrolle ab^[14]. Eine unter belgischer Ratspräsidentschaft für den 20. Juni 2024 angesetzte Abstimmung im Ausschuss der Ständigen Vertreter der Mitgliedstaaten (COREPER) wurde mangels Erfolgsaussicht kurzfristig von der Tagesordnung genommen.

2025 kam es zu einem weiteren Versuch, eine Einigung zu erzielen. Der sogenannte Dänische Kompromiss sah weiterhin die Möglichkeit zur verpflichtenden anlasslosen Massenkontrolle privater Kommunikation vor. Deutschland kam bei der Abstimmung eine entscheidende Rolle zu, da seine Zustimmung wahrscheinlich die nötige Mehrheit gesichert hätte. Die Bundesregierung, die in ihrem Koalitionsvertrag eine anlasslose Massenkontrolle ablehnt, legte sich aber erst nach einer öffentlichen Kampagne^[15] in den Tagen vor der entscheidenden Beratung am 8. Oktober 2025 fest. Sie lehnte den Kompromiss ab, so dass weiterhin kein rechtlicher Rahmen für die Chatkontrolle besteht^[16].

Internetgiganten

CSS als Mittel der Telekommunikationsüberwachung wurde erstmals im größeren Maße öffentlich diskutiert, nachdem Apple 2021 angekündigt hatte, die Endgeräte seiner Nutzer auf Darstellungen von Kindesmissbrauch zu durchsuchen. Dateien, die auf die iCloud hochgeladen werden, sollten auf kinderpornografische Inhalte überprüft werden, indem sie mit Einträgen einer Datenbank des National Center for Missing & Exploited Children abgeglichen würden. Nach Protesten wurde das Vorhaben verschoben.^[17]

Im April 2022 erklärte Meta Platforms, an Ende-zu-Ende-Verschlüsselung als Langzeitziel festzuhalten. In der von Meta zitierten Untersuchung Human Rights Impact Assessment – Meta's Expansion of End-to-End Encryption der Organisation „Business for Social Responsibility“ heißt es, dass eine sichere Ende-zu-Ende-Verschlüsselung grundlegende Menschenrechte wie Meinungsfreiheit und Privatsphäre bewahrt und Individuen vor repressiven Regimen schützt. Auch der Datenschutz sei ein grundlegendes Menschenrecht. Der Einsatz von clientseitigen Scan-Techniken untergrabe aber die Integrität von Ende-zu-Ende-Verschlüsselung. Um gesellschaftliche Probleme wie Kriminalität und Kindesmissbrauch zu bekämpfen, seien Präventionsstrategien wie die Auswertung von Metadaten und Verhaltensanalysen, aber auch Nutzeraufklärung und eine „robuste Benutzerberichterstattung“ geeigneter.^[18]

Sonstige

Im Falle der europäischen Umsetzung von CSS kündigte Signal-Chefin Meredith Whittaker an, dass sich der Instant-Messaging-Dienst vom europäischen Markt zurückziehen würde.^[19]

Sollte es keine rechtlichen Schritte oder technische Workarounds mehr geben, das Untergraben der verschlüsselten Kommunikation zu verhindern, wird der in der Schweiz ansässige Instant-Messaging-Dienstes Threema die EU verlassen, und andere Kommunikationsdienste dazu aufrufen.^[20]