Eine Person prüft mit einer Lupe ein Papier mit EU-Logo. Die Lupe trägt das Logo der Kampagne "Chatkontrolle Stoppen!"

Was im Trilog passiert, bleibt im Trilog?!

Wie schon häufiger geschrieben haben wir mit dem Trilog den intransparentesten Teil des EU-Gesetzgebungsprozesses erreicht (mehr Details zum Ablauf findet ihr hier: https://chat-kontrolle.eu/index.php/2026/06/02/monat-der-entscheidung-chatkontrolle-schlussverhandlungen/).

Ende Mai hat Politico aber ein Dokument veröffentlicht, hierbei handelt es sich um einen Vorschlag der Ratspräsidentschaft an die Mitgliedstaaten. Primär geht es in dem Dokument darum, was wie gescannt werden soll. Im Folgenden findet ihr eine Übersicht zu den Themen, die gerade diskutiert werden, und nochmal einen Verweis auf Punkte, die generell wichtig sind.

Hierbei handelt es sich um eine Momentaufnahme, denn die Verhandlungen befinden sich in der heißen Phase. Viele in dem Vorschlag formulierte Themen sind unfertig und vage, das macht sie aber noch problematischer, da in dem Dokument auch die Tendenzen der Mitgliedstaaten abgefragt werden

Vorschlag der Ratspräsidentschaft – to scan or not to scan

Der Fokus des vorliegenden Dokuments liegt generell auf Aufdeckung, sprich Scannen von Inhalten. Das Thema ist in unterschiedliche Bereiche gegliedert:
Erstens: Was soll gescannt werden?
Zweitens: Woran soll gescannt werden, und drittens: Wer darf unter welchen Bedingungen scannen? 
Zusätzlich werden Sicherheitsmaßnahmen bzw. Anforderungen an Scanning-Technologien festgelegt.

Das Wichtigste vorweg: Scannen in privater, verschlüsselter Kommunikation liegt derzeit nicht auf dem Tisch, der Schutz von verschlüsselter Kommunikation findet aber auch nur implizit Erwähnung in einer Fußnote.

Definition von öffentlichen und nicht öffentlichen Inhalten
Der Vorschlag bleibt vage, öffentliche Inhalte sind definiert als alle Inhalte, die generell für alle zugänglich sind oder auf die durch einen öffentlichen Link zugegriffen werden kann, ohne dass ein Administrator jedem User einzeln Zugriff gewähren muss. Alles andere fällt unter nicht öffentliche Inhalte.

Durch diese unscharfe Definition können schnell Probleme entstehen, es ist zum Beispiel unklar, ob öffentliche Links zu Cloud Dokumenten nicht automatisch als öffentliche Inhalte definiert werden. Es müsste ein klarer Schutz von privaten Cloudspeichern und interpersoneller Kommunikation geschaffen werden.

Wonach soll gescannt werden?
In dem Dokument wird die Bereitschaft der Mitgliedstaaten im Hinblick darauf, wo nachgescannt werden soll, abgefragt. Vorgeschlagen wird eine Definition aus der CSA Richtlinie. Diese würde nicht nur bekanntes Material umfassen, sondern auch unbekanntes Material und Grooming.

Diese Richtung ist gefährlich, da hier Technologie zum Einsatz kommen würde, die fehleranfällig ist, und es so zu vielen Falschmeldungen kommen könnte. Weiter umfasst diese Definition sogenannte Grooming-Handbücher, sprich Anleitungen, wie sich Täter Kindern nähern können. Hier würde nach in solchen Handbüchern vorgeschlagenen Textausschnitten gesucht. Gerade beim Scannen in Texten ist der Kontext der Kommunikation wichtig. Dementsprechend hoch könnten die Fehlerraten sein.
Scannen nach unbekanntem Material und Grooming sollten generell ausgeschlossen werden.

Freiwilliges Scannen durch Plattformen oder das EU-Center
Die Ratspräsidentschaft hängt mit ihrem Vorschlag noch der Chatkontrolle 1.0 hinterher (diese wurde zu Beginn des Jahres zu Recht nicht durch das EU-Parlament verlängert). Hier werden mehrere Dinge vermischt. Erstens wird festgestellt, dass Hoster, ohne von der ePrivacy-Verordnung abzuweichen, in nicht öffentlichen Inhalten (Cloud Speicher) scannen könnten. Deswegen wird vorgeschlagen, dass Hoster nicht öffentliche Inhalte freiwillig scannen dürfen, wenn sie das EU-Center informieren und vorgesehene Sicherheitsrichtlinien einhalten. Nationale Behörden sollen entsprechend überwachen, ob die Richtlinien eingehalten werden.

Zweitens soll das EU-Center auch nach Inhalten suchen dürfen. Diese Idee ist nicht neu und wurde so ähnlich auch schon vom Parlament vorgeschlagen. Was das konkret heißen würde, wäre, dass das EU-Center sogenannte Webcrawler verwenden dürfte, um öffentlich zugängliche Inhalte zu durchsuchen und Inhalte entsprechend melden. Was erstmal relativ harmlos klingt, kann schnell problematisch werden, wie der Fall Flokinet ganz aktuell aufzeigt (https://netzpolitik.org/2026/automatisierte-falschmeldungen-bka-meldet-kinderpornografie-die-keine-ist/).

Die Chatkontrolle 1.0 wurde aus guten Gründen abgelehnt und bleibt auch weiterhin europarechtswidrig. Die von der Ratspräsidentschaft vorgelegte Sicherheitsrichtlinie kann diese Bedenken nicht aufheben. Schlimmer noch: Es wird unklar gelassen, ob das Erheben von Metadaten von Messengerdiensten als weiteres Werkzeug genutzt werden kann.

Aufdeckungsanordnungen
Wie es die Definition schon haben vermuten lassen, geht es auch bei den Aufdeckungsanordnungen um öffentliche und nicht öffentliche Inhalte. Bei öffentlichen Inhalten ist eine solche Anordnung durch eine Behörde möglich, wenn es einen Verdacht gibt, dass die Plattform zur Verbreitung illegaler Inhalte genutzt wird. Eine juristische Bestätigung braucht es nicht. Die Plattform ist dann verpflichtet, Inhalte zu scannen, alles in Übereinstimmung mit den vorgegebenen Sicherheitsrichtlinien.

Für nicht öffentliche Inhalte sind die Regeln ein wenig strenger, hier braucht es eine Aufdeckungsanordnung der zuständigen Behörde. Hier geht es um das spezifische Scannen von nicht öffentlichen Inhalten eines bestimmten Nutzers. Diese Art der Aufdeckungsanordnung ist vergleichbar mit der Position des EU-Parlaments. Zusätzlich sieht der Vorschlag vor, dass für das Scannen die vom EU-Center bereitgestellten Indikatoren benutzt werden.
Allerdings liegt der Teufel bei den Vorschlägen der Ratspräsidentschaft im Detail. Wenn nämlich die Suche nach Grooming Teil der Anordnung ist, muss mutmaßlich auch festgestellt werden, ob ein Nutzer in der Konversation ein Kind ist, und dazu braucht es Altersverifikation.

Generell sind Aufdeckungsanordnungen, insbesondere unter der unscharfen Definition von nicht öffentlichen Inhalten, problematisch, da sie Anbieter zu massenhaftem Scannen verpflichten könnten und somit eine Massenüberwachung schaffen.
Hier sollten sich die Verhandler*innen besser auf zielgerichteten Maßnahmen und rechtsstaatlichen Schutzvorkehrungen besinnen, welche das Europäische Parlament in seiner Position von 2023 vorgeschlagen hat. Ein Verhandlungsergebnis, das die anlasslose Massenüberwachung von unschuldigen Bürger*innen ermöglicht, wäre nicht verhältnismäßig, für den Kinderschutz ungeeignet und würde von der Zivilgesellschaft nicht akzeptiert werden.

Technologien zum Scannen
Das neu zu schaffende EU-Center soll weiterhin dafür zuständig sein, Technologien zum Scannen zu prüfen und bereitzustellen. Das ist soweit nicht neu, jedoch heißt es in Artikel 50(1), dass diese Technologien ebenfalls als Risikominimierungsmaßnahme genutzt werden können. Das ist insofern problematisch, als das es sehr von den Vorgaben für eine Risikoanalyse abhängt. Dies birgt die Gefahr, dass Scannen nicht freiwillig bleibt, sondern indirekt erzwungen wird. Weiterhin stellt die Ratspräsidentschaft die Frage, ob eine externe, unabhängige Prüfung der Technologien erfolgen und wer die Kosten dafür tragen soll. Das ist spannend, da die Position des EU-Parlaments eine externe Prüfung vorsieht. Welche auch sinnvoll ist, denn es stellt eine unabhängige zusätzliche Prüfung sicher.

Wichtig für die Prüfung von Technologien sind die in Artikel 10 eingeführten Sicherheitsrichtlinien für die eingesetzten Scanning-Technologien. Artikel 10 ist ebenfalls die Basis für die Prüfung von freiwilligem Scannen sowie die Absicherung von genutzter Technologie in Aufdeckungsanordnung.

Die vorgegebenen Maßnahmen sind jedoch sehr schwach und teilweise schwer zu prüfen. In den Vorgaben heißt es: „Der Anbieter soll sicherheits- und privatsphärefreundliche Technologien nutzen.“ Weiter heißt es, sie sollen effektiv im Hinblick auf die Identifizierung von illegalem Material funktionieren sowie zuverlässig mit möglichst geringen Fehlerraten funktionieren. Es bleibt völlig offen, wie diese Eigenschaften definiert sind und welcher Threshold gilt. Weiterhin lässt der Artikel den Anbieter offen, welche Technologien sie nutzen. Sie muss lediglich extern geprüft werden, außer es handelt sich um vom EU-Center bereitgestellte Technologien.

Diese Vorgaben lassen einen weiten Raum, gerade für selbstentwickelte Technologien, um exzessiv Daten zu sammeln, auszuwerten und letztendlich die Nutzerin als Versuchskaninchen zu nutzen.

Es gilt: Alle Vorschläge zum Scannen sind nicht ausreichend abgesichert. Aus der Chatkontrolle 1.0 wissen wir, dass Anbieter ihren Berichtspflichten sowie detaillierten Berichten zur genutzten Technologie nicht nachkommen. Transparenz und Überprüfbarkeit sind also nicht sichergestellt.

TL;DR – Was jetzt wichtig ist

Die Bestrebungen der Ratspräsidentschaft, weiterhin ein Scanregime wie unter der Chatkontrolle 1.0 zu etablieren, sind weiterhin hoch, und umfassen nun auch wieder nicht öffentliches Material sowie das Scannen nach unbekanntem Material und Grooming. Das muss nach Möglichkeit verhindert werden. Hier gilt es noch einmal auf die europarechtlichen Probleme zu verweisen.

Wenn auch nicht explizit erwähnt, braucht es ein aktives Bekenntnis zum Schutz von verschlüsselter Kommunikation, egal ob Messengerdienste oder verschlüsselte Clouds. Private und vertrauliche Daten müssen besonders geschützt werden.

Aufgrund der hohen Emotionalisierung des Themas Social-Media-Verbot, ist zu vermuten, dass auch Altersverifikation erneut diskutiert werden. Dieses Gesetz ist jedoch nicht der richtige Ort und das Thema für sich viel zu komplex, um es hier einfach mit aufzunehmen. Altersverifikation wird nicht dazu beitragen, dass weniger illegales Material in den Umlauf gerät. Ganz generell ist Altersverifikation ein enormer Grundrechtseingriff und muss verhindert werden. Kinder und Jugendliche von der gesellschaftlichen Teilhabe auszuschließen ist auch ein schwerwiegender Eingriff in ihre Rechte. Außerdem werden die Probleme der Plattformen damit nicht gelöst, welche Erwachsene übrigens ebenso betreffen. Stattdessen sollten also lieber Plattformbetreiber*innen in die Verantwortung genommen werden, ihr Dienste sicher für alle zu gestalten. Die Diskussion über Alterskontrollen und Social-Media-Verbote lenkt leider von diesen grundsätzlichen Problemen ab. Genau diese Empfehlung legt auch der neue Bericht der deutschen Ethik Kommission vor.

Abschließend sollte der Fokus darauf liegen, die positiven Vorstöße, die wir in den letzten Monaten machen konnten, hochzuhalten und gerade Europaabgeordnete daran zu erinnern, wie sie sich zum Thema positioniert haben. Erst wenn das Versprechen von wirklichem Schutz sicherer und vertraulicher Kommunikation umgesetzt ist, können wir aufhören, Druck zu machen.