Was Ist Chat Control?
Die vorgeschlagene EU-Verordnung zur Bekämpfung von Material über sexuellen Kindesmissbrauch (CSAM) durch automatisiertes Nachrichtenscannen ist zu einer der umstrittensten digitalen Grundsatzdebatten in Europa geworden. Dieser Leitfaden erklärt, was Chat Control ist, wie es technisch funktioniert, wo die Gesetzgebung steht und was es für deine Privatsphäre bedeuten könnte.
Was ist Chat Control?
Der Begriff "Chat Control" wurde von Digitalrechtaktivisten und Journalisten geprägt und bezieht sich auf eine Reihe von EU-Gesetzesmaßnahmen, die darauf abzielen, die Verbreitung von Material über sexuellen Kindesmissbrauch (CSAM) und Online-Grooming durch automatisierte Analyse von Nutzerkommunikation zu bekämpfen.
Zwei parallele Wege
Der Gesetzesrahmen besteht aus zwei getrennten Pfaden. Chat Control 1.0 ist eine temporäre, freiwillige Ausnahmeregelung von der ePrivacy-Richtlinie, die Unternehmen den Einsatz von Erkennungstechnologien erlaubt. Chat Control 2.0 ist eine vorgeschlagene dauerhafte Verordnung (CSAR), die Risikobewertungen vorschreiben und für alle anwendbaren Anbieter in der EU potenziell Erkennungsanordnungen erforderlich machen würde.
Was gescannt wird
Nachrichten, Bilder, Videos und Dateien, die über Instant Messaging, E-Mail, private Chats in sozialen Medien und VoIP-Dienste übertragen werden.
Warum es für die Privatsphäre wichtig ist
Zum ersten Mal erwägt eine große demokratische Rechtsordnung, dass private Kommunikation gescannt werden muss, bevor sie gesendet wird. Dies schafft technische Mechanismen, die laut Kritikern die Ende-zu-Ende-Verschlüsselung für alle grundlegend schwächen.
Aktueller Status
Das temporäre Regime (1.0) wurde in einer umstrittenen Abstimmung im Juli 2026 bis April 2028 verlängert. Die Trilogverhandlungen über die dauerhafte Verordnung (2.0) werden mit tiefen Meinungsverschiedenheiten zwischen Parlament, Rat und Kommission fortgesetzt.
Wie das Scannen tatsächlich funktioniert
Die technische Umsetzung von Chat Control hängt davon ab, ob der Dienst Ende-zu-Ende-Verschlüsselung verwendet. Es gelten zwei grundlegend unterschiedliche Ansätze.
Server-Seitiges Scannen
Auf Plattformen ohne Ende-zu-Ende-Verschlüsselung werden Bilder, Texte und Videos automatisch auf den Servern des Unternehmens analysiert, bevor sie an den Empfänger zugestellt oder gespeichert werden. Dies ist technisch einfacher und bereits üblich zur Erkennung bekannter CSAM-Hashes.
- Gilt fürTraditionelle E-Mail, Nicht-E2EE-Cloud-Speicher, Server-seitige Plattformen
- Technische AuswirkungKeine Änderung der bestehenden Verschlüsselungsarchitektur
- DatenschutzbedenkenAnbieter hat von Natur aus Zugriff auf alle Inhalte
Client-Seitiges Scannen
Bei Diensten, die durch Ende-zu-Ende-Verschlüsselung (E2EE) geschützt sind, können die Server des Anbieters keine Inhalte lesen. Um dennoch zu scannen, sieht der Vorschlag vor, Erkennungssoftware direkt auf dem Gerät des Nutzers zu platzieren — die Nachricht wird gescannt, kurz bevor sie zum Senden verschlüsselt oder kurz nachdem sie beim Empfang entschlüsselt wird.
- Gilt fürWhatsApp, Signal, Telegram, iMessage, ProtonMail, E2EE-Apps
- Technische AuswirkungErzeugt einen Scan-Agenten innerhalb der vertrauenswürdigen Gerätegrenze
- DatenschutzbedenkenKritiker sagen, dies schwächt das Verschlüsselungsmodell strukturell
Erkennungsmethoden
Hash-Abgleich
Dateien werden mit internationalen Datenbanken bekannter CSAM-Bilder und -Videos unter Verwendung eindeutiger digitaler Fingerabdrücke (Hash-Werte) verglichen. Nur vorab identifizierte illegale Inhalte werden markiert.
KI-Klassifikation
Maschinelle Lernklassifikatoren und Bildmodelle, die darauf trainiert sind, bisher unbekanntes illegales Material, neue CSAM-Inhalte, die noch nicht in Hash-Datenbanken registriert sind, und verdächtige Muster in visuellen Inhalten zu erkennen.
Grooming-Erkennung
Verarbeitung natürlicher Sprache (NLP) Modelle, die darauf trainiert sind, Muster von missbräuchlichem Verhalten in Gesprächen zu erkennen. Diese Algorithmen analysieren Texte auf sprachliche Merkmale, die mit dem Grooming-Prozess verbunden sind.
Wichtige Ereignisse im Chat Control-Zeitplan
Vom ursprünglichen Vorschlag bis zur letzten Notabstimmung war der Weg dieser Verordnung von tiefen institutionellen Gräben und verfahrenstechnischen Kontroversen geprägt.
Die Europäische Kommission veröffentlicht den offiziellen Vorschlag für eine dauerhafte Verordnung COM(2022) 209 mit dem Titel "Verordnung zur Verhütung und Bekämpfung von sexuellem Kindesmissbrauch". Sie sieht verbindliche Risikobewertungen und Erkennungsanordnungen für alle Kommunikationsanbieter vor.
Das Europäische Parlament genehmigt sein Verhandlungsmandat und lehnt ausdrücklich das Massenscannen verschlüsselter Kommunikation ab. Es fordert, dass Erkennungsanordnungen auf bestimmte, gerichtlich genehmigte Ziele mit hinreichendem Verdacht beschränkt werden.
Der Rat der EU erzielt eine vorläufige interne Einigung, die die explizite Pflicht zum Scannen abschwächt, aber allgemeine technische Risikominderungspflichten beibehält, wodurch die Tür für Client-seitige Scan-Anforderungen offen bleibt.
Das Europäische Parlament stimmt mit 311 gegen 228 Stimmen gegen die Verlängerung der befristeten Ausnahmeregelung Chat Control 1.0. Das freiwillige Scan-Regime soll am 3. April auslaufen.
Die ePrivacy-Ausnahmeregelung läuft wie geplant aus. Für etwa drei Monate operiert das freiwillige Scannen ohne seinen spezifischen rechtlichen Safe Harbour nach EU-Recht.
Unter dem zypriotischen Vorsitz findet der fünfte Trilog zwischen Kommission, Parlament und Rat statt, um den endgültigen Text des dauerhaften Chat Control 2.0 auszuhandeln. Wichtige Meinungsverschiedenheiten zu Verschlüsselung und Umfang bleiben ungelöst.
In einer beschleunigten Notabstimmung nach Artikel 170 stimmt das Europäische Parlament mit 314 gegen 276 für die Verlängerung. Obwohl mehr MdEP dagegen stimmen, wird die Maßnahme angenommen, da 361 absolute Stimmen erforderlich gewesen wären, um den Vorschlag des Rates zu blockieren. Das freiwillige Scan-Regime wird wiederhergestellt und bis zum 3. April 2028 verlängert, vorbehaltlich der formellen Ratifizierung durch die Mitgliedstaaten innerhalb von drei Monaten.
Welche Dienste sind betroffen?
Die rechtlichen Definitionen im Europäischen Kodex für die elektronische Kommunikation decken ein breites Spektrum alltäglicher digitaler Kommunikationstechnologien ab.
Wo die EU-Institutionen stehen
Die drei wichtigsten EU-Organe sind in der Chat Control-Frage tief gespalten, was zu einer legislativen Blockade geführt hat, die einen Konsens seit Jahren verzögert.
Europäische Kommission
Ursprüngliche Befürworterin der dauerhaften Verordnung. Zunächst von Innenkommissarin Ylva Johansson geführt. Argumentiert, dass freiwillige Instrumente unzureichend seien und eine koordinierte, technologieorientierte Struktur erforderlich ist, um die massive Zunahme von Online-CSAM zu bewältigen.
Europäisches Parlament
Mehrheitlich gegen unterschiedsloses Scannen. Setzt sich für den Schutz der Ende-zu-Ende-Verschlüsselung ein, fordert die Beschränkung von Erkennungsanordnungen auf Personen mit begründetem Verdacht und vorherigem richterlichem Beschluss und lehnt automatisierte Massenüberwachung ab.
Rat der EU
Tief gespalten. Frankreich, Spanien und der zypriotische Vorsitz drängen auf umfassende Erkennungsfähigkeiten. Deutschland hat im Oktober 2025 förmlich erklärt, dass es gegen jeden Rahmen stimmen werde, der E2EE gefährdet. Österreich, Polen und die Niederlande haben ernsthafte Einwände geäußert.
Argumente Dafür und Dagegen
Die öffentliche Debatte über Chat Control stellt den Kinderschutz gegen grundlegende digitale Rechte. Hier sind die wichtigsten Argumente auf beiden Seiten.
+ Dafür
Europäische Kommission, Kinderhilfsorganisationen
Wirksamkeit und Dringlichkeit: Millionen von CSAM-Dateien werden monatlich über digitale Plattformen verbreitet. Automatisierte Analyse wird als einzige Methode mit ausreichender Größenordnung und Geschwindigkeit angesehen, um Vertriebsknotenpunkte zu identifizieren und kriminelle Netzwerke zu zerschlagen.
Grooming-Prävention: Textscan-Algorithmus könnten Täter in den frühen Phasen der Kontaktaufnahme mit Minderjährigen abfangen, bevor es zu physischem Missbrauch kommt.
Unternehmerische Verantwortung: Verpflichtet große Technologiekonzerne, eine proaktive Rolle für die Kindersicherheit in ihren geschlossenen Ökosystemen zu übernehmen.
– Dagegen
Cybersicherheitsexperten, Digitalrechtsaktivisten, Tech-Industrie
Verschlüsselungs-Hintertür: Client-seitiges Scannen schwächt E2EE strukturell. Die Schaffung eines Vor-Verschlüsselungs-Zugriffsmechanismus führt Sicherheitslücken ein, die von böswilligen Akteuren, Cyberkriminellen und autoritären Regierungen ausgenutzt werden können.
Massenüberwachung: Das Abfangen und Analysieren aller Kommunikation ohne Verdacht auf Fehlverhalten untergräbt die Unschuldsvermutung und normalisiert die Massenüberwachung.
Fehlalarme: KI-Erkennungssysteme haben Fehlerraten. Unschuldige Familienfotos (Strand, Bad) oder legitime Gespräche über sexuelle Gesundheit könnten markiert und private Daten an Behörden weitergeleitet werden.
Fragwürdige Wirksamkeit: Interne EU-Berichte (COM(2025)740) fanden keinen statistisch nachweisbaren Zusammenhang zwischen freiwilligen Scan-Aktivitäten und erhöhten Verurteilungen oder wirksamen Rettungen von Minderjährigen im Vergleich zu traditionellen gezielten Polizeiermittlungen.
Häufig gestellte Fragen
Chat Control ist der inoffizielle Name für EU-Gesetzesinitiativen zur Bekämpfung von Material über sexuellen Kindesmissbrauch (CSAM) und Online-Grooming. Es umfasst eine befristete freiwillige Maßnahme (Chat Control 1.0) und eine vorgeschlagene dauerhafte Verordnung (Chat Control 2.0, offiziell die CSAR-Verordnung), die Anbieter digitaler Kommunikation verpflichten würde, illegale Inhalte durch automatisierte Analyse von Nachrichten, Dateien und Kommunikation zu erkennen.
Chat Control 1.0 (Verordnung 2021/1232) ist eine befristete Ausnahmeregelung von der ePrivacy-Richtlinie, die Unternehmen erlaubt — aber nicht verpflichtet — freiwillig Erkennungstechnologien einzusetzen. Sie wurde bis April 2028 verlängert. Chat Control 2.0 (COM(2022) 209) ist eine vorgeschlagene dauerhafte Verordnung, die Risikobewertungen verbindlich vorschreiben und Behörden ermächtigen würde, bindende Erkennungsanordnungen zu erlassen. Sie wird noch im Trilog verhandelt.
Kritiker argumentieren, dass Client-seitiges Scannen — der einzig technisch machbare Weg, E2EE-Inhalte zu scannen — eine strukturelle Schwachstelle im Verschlüsselungsmodell schafft. Informatiker und Sicherheitsbehörden warnen, dass jeder Vor-Verschlüsselungs-Scanmechanismus auf Nutzergeräten von böswilligen Akteuren als Hintertür zweckentfremdet werden kann, was die Sicherheitsgarantien untergräbt, die E2EE allen Nutzern bietet, nicht nur denen, die einer Straftat verdächtigt werden.
Die ursprüngliche Ausnahmeregelung lief am 3. April 2026 aus, nachdem das Parlament am 26. März gegen eine Verlängerung gestimmt hatte (311-228). Am 9. Juli 2026 stimmte das Parlament im Rahmen eines dringenden Artikel-170-Verfahrens, das vom zypriotischen Vorsitz beantragt wurde, erneut ab: 314 gegen die Verlängerung, 276 dafür, 17 Enthaltungen. Da Dringlichkeitsverfahren 361 absolute Stimmen (eine Mehrheit der 720 Sitze umfassenden Kammer) erfordern, um den Vorschlag des Rates zu blockieren, wurde die Verlängerung trotz mehr dagegen stimmender MdEP angenommen. Das freiwillige Scan-Regime ist bis zum 3. April 2028 wiederhergestellt.
Client-seitiges Scannen platziert Erkennungssoftware auf dem Gerät des Nutzers (Telefon, Tablet, Computer). Bevor eine Nachricht zum Senden verschlüsselt wird — oder unmittelbar nachdem sie beim Empfang entschlüsselt wurde — analysiert die Software den Inhalt. Drei Haupttechniken werden verwendet: (1) Hash-Abgleich gegen bekannte CSAM-Datenbanken, (2) KI-Klassifikatoren und Bildmodelle für neues oder unerkanntes illegales Material und (3) Algorithmen zur Verarbeitung natürlicher Sprache zur Grooming-Erkennung in Gesprächstexten.
Die Verordnungen decken ab: Instant Messaging (WhatsApp, Signal, Telegram, iMessage), private Chats in sozialen Medien (Instagram, Facebook Messenger, TikTok, X, Snapchat), E-Mail (Gmail, Outlook, ProtonMail), VoIP- und Videoanrufdienste und — nach dem Chat Control 2.0-Vorschlag — App-Stores, die verpflichtet wären, das Alter der Nutzer zu überprüfen und möglicherweise App-Downloads für Nutzer unter 16 Jahren einzuschränken.
Vier Hauptkritikpunkte: (1) Es schwächt strukturell die Ende-zu-Ende-Verschlüsselung durch die Schaffung eines backdoor-ähnlichen Mechanismus; (2) es ermöglicht Massenüberwachung der gesamten Bevölkerung ohne individuellen Verdacht und untergräbt die Unschuldsvermutung; (3) KI-Erkennungssysteme produzieren Fehlalarme, die private Daten an Behörden weitergeben können; und (4) eine interne EU-Bewertung (COM(2025)740) fand keinen statistisch nachweisbaren Zusammenhang zwischen freiwilligem Scannen und erhöhten Verurteilungen oder wirksamen Kinderrettungen.
Stand Juli 2026 wird die dauerhafte CSAR-Verordnung (Chat Control 2.0) noch im Trilog zwischen Kommission, Parlament und Rat verhandelt. Die fünfte Trilog-Sitzung fand am 29. Juni 2026 unter dem zypriotischen Vorsitz statt. Wichtige Meinungsverschiedenheiten bleiben bestehen, insbesondere über den Umfang von Erkennungsanordnungen, den Schutz der Ende-zu-Ende-Verschlüsselung und Ausnahmen für bestimmte Nutzerkategorien.
Aktuelle Ratsverhandlungstexte aus Ende 2025 und Mitte 2026 enthalten vorgeschlagene funktionale Ausnahmen für bestimmte Personalkategorien, darunter Politiker, Diplomaten, Polizei- und Militärangehörige, unter Berufung auf nationale Sicherheitsgründe. Kritiker argumentieren, dies schaffe ein Zweiklasse-Datenschutzsystem, bei dem normale Bürger schwächeren Schutz genießen als Regierungsbeamte.
NOLO ist ein datenschutzorientierter KI-Assistent, der daran glaubt, die Datenerhebung zu minimieren und die Privatsphäre der Nutzer von Grund auf zu schützen. Wir betreiben keine Messaging-Plattform und unterliegen nicht direkt diesen Vorschriften. Wir verfolgen die Debatte jedoch genau, weil die vorgeschlagenen technischen Mechanismen — insbesondere das Client-seitige Scannen — Präzedenzfälle dafür schaffen, wie Regierungen den Zugriff auf private Kommunikation vorschreiben können. Die eigene Architektur von NOLO (kein Konto, keine E-Mail, lokale Chronik, keine Datenspeicherung) spiegelt ein Bekenntnis zu denselben Datenschutzprinzipien wider, die Chat Control-Kritiker verteidigen.
Privatsphäre ist kein Feature. Sie ist die Grundlage.
Chat Control markiert einen entscheidenden Moment für die digitale Privatsphäre in Europa. Der Ausgang dieser Debatte wird bestimmen, ob die Ende-zu-Ende-Verschlüsselung als sinnvoller Datenschutz überleben kann oder ob alle digitalen Kommunikationswege von Grund auf automatisierter Überwachung unterliegen. Wir haben NOLO in der Überzeugung entwickelt, dass Privatsphäre die Regel und nicht die Ausnahme sein sollte.
- Kein Konto, keine E-Mail — deine Identität ist eine anonyme Geräte-ID
- Lokale Chronik — Gespräche werden nur in deinem Browser gespeichert
- Keine Datenspeicherung — Nachrichten werden beantwortet und dann serverseitig verworfen
- Kein Training mit deinen Daten — Anbieter sind vertraglich ausgeschlossen
- Transparenz darüber, was dein Gerät verlässt — und was nicht
Kenne deine digitalen Rechte.
Die Chat Control-Debatte betrifft alle, die verschlüsselte Nachrichten nutzen. Die Vorschläge, die Argumente und den Stand der Gesetzgebung zu verstehen, ist der erste Schritt, um deine Stimme hörbar zu machen.