Die geplante EU-Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern – die sogenannte „Chatkontrolle“

Die EU-Kommission hat im Mai 2022 einen Verordnungsentwurf zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern vorgelegt. Anbietende von Messenger- und Hostingdiensten sollen verpflichtet werden, sämtliche Kommunikation bzw. Daten ihrer Nutzenden auf Material, das sexuellen Kindesmissbrauch zeigt (sog. CSA-Material), zu durchleuchten. Außerdem sollen durch Scannen von Nachrichten Annäherungsversuche von Erwachsenen gegenüber Kindern in sexueller Missbrauchsabsicht (sog. Grooming) aufgedeckt werden. Neben dem Auslesen von Textnachrichten sieht der Entwurf auch das Abhören von Audiokommunikation vor. Wegen der geplanten umfassenden Durchleuchtung von privaten Textnachrichten wurde der Vorschlag auch unter dem Stichwort „Chatkontrolle“ bekannt.

Das Ziel, die Online-Verbreitung des sexuellen Kindesmissbrauchs zu stoppen, ist überaus wichtig und grundsätzlich zu unterstützen. Jedoch schießt der EU-Gesetzgebende mit seinem Vorschlag deutlich über das verfolgte Ziel hinaus. Denn die „Chatkontrolle“ bietet kaum Schutz für Kinder, wäre aber Europas Einstieg in eine anlasslose und flächendeckende Überwachung der privaten Kommunikation. 

Der Verordnungsentwurf respektiert nach Einschätzung des BfDI weder die Vorgaben zur Verhältnismäßigkeit noch die Grundrechte, die deutschen Bürgerinnen und Bürgern nach der EU-Grundrechte-Charta und nach dem Grundgesetz zustehen. Denn der Vorschlag droht, die Ende-zu-Ende-Verschlüsselung zu durchbrechen, indem Inhalte privater Kommunikation derjenigen Dienste, die von der zuständigen Behörde eine sog. Aufdeckungsanordnung erhalten haben, flächendeckend gescannt werden sollen. Von einem solchen Scannen sind keine Ausnahmen vorgesehen, auch nicht für Berufsgeheimnistragende. Das heißt, es würde z.B. auch die vertrauliche Kommunikation zwischen Anwältinnen und Anwälten und ihren Mandantinnen und Mandaten oder zwischen Ärztinnen und Ärzten und ihren Patientinnen und Patienten erfasst. Durch ein Durchbrechen der Ende-zu-Ende-Verschlüsselung drohen Sicherheitslücken, die auch von Kriminellen genutzt werden könnten. Als alternative Möglichkeit sollen Dienste direkt auf dem jeweiligen Gerät der Nutzenden Inhalte auslesen können (sog. Client-Side-Scanning). Dies führt zu eklatanten Verstößen gegen die Achtung des Privatlebens nach Art. 7 der EU-Grundrechte-Charta und gegen das Fernmeldegeheimnis nach Art. 10 Absatz 1 Grundgesetz.

Außerdem weisen die Technologien, die zum Auffinden des CSA-Materials eingesetzt werden sollen, zum Teil noch Fehlerquoten von bis zu 12% auf. Dadurch könnten bei einem Dienst wie beispielsweise WhatsApp mit insgesamt circa zwei Milliarden Nutzenden weltweit bis zu 240 Millionen Nutzende zu Unrecht der Verbreitung von CSA-Material beschuldigt werden.

Datenschutzaufsichtsbehörden sollen sich vor dem Einsatz der jeweiligen Technologien nur mit unverbindlichen Stellungnahmen beteiligen können. Sobald eine Technologie einmal eingesetzt wird, ist eine Beteiligung jedoch nicht mehr vorgesehen. Diese eingeschränkte Rolle der Datenschutzbehörden hält der BfDI bei derart schwerwiegenden, drohenden Grundrechtseingriffen für unzureichend.

Ein noch zu errichtendes EU-Zentrum soll eine Datenbank mit Verdachtsfällen führen, in der es erhaltene Berichte über (potentiellen) Kindesmissbrauchs sammelt. Diese werden von dem EU-Zentrum geprüft und an die nationalen Strafverfolgungsbehörden weitergeleitet.

Schließlich sieht der Verordnungsentwurf auch verpflichtende Alterskontrollen durch App- und Software-Stores und teilweise sogar den Ausschluss bestimmter Altersgruppen von Software-Anwendungen vor. Dies führt im Ergebnis zu einer ungewollten Zensur und macht es teilweise unmöglich, das Internet anonym oder pseudonym zu nutzen. Außerdem verstößt dies gegen die Vorgaben aus dem Koalitionsvertrag, da die Ampel-Koalition dort eine Identifizierungspflicht von Nutzenden ausdrücklich ablehnt. Ein Aufheben der Anonymität hätte insbesondere für Oppositionelle oder Whistleblower schwerwiegende Folgen.

Das Europäische Parlament (EP) hat im November 2023 eine Einigung mit diversen Änderungsvorschlägen zum Verordnungsentwurf erzielt.  Der LIBE-Ausschuss des EP hat am 14. November 2023 seine Position zur CSA-Verordnung verabschiedet, die am 22. November 2023 vom EP-Plenum bestätigt wurde. Das Parlament hat einige grundrechtsschonendere Positionen vorgeschlagen, unter anderem eine zielgerichtete und anlassbezogene Ausgestaltung der Aufdeckungsanordnungen (die zur sog. Chatkontrolle führen würden), das Ausnehmen von Audionachrichten aus dem Anwendungsbereich der Verordnung und vieles mehr.

Eine Position des Rats der EU zum Verordnungsentwurf (sog. Allgemeine Ausrichtung), die Voraussetzung für den Beginn von Trilog-Verhandlungen mit der EU-Kommission ist, konnte bisher nicht erzielt werden. Auch unter belgischem Vorsitz des Rats der EU, der sehr auf eine Einigung der Mitgliedstaaten gedrängt hatte, wurde eine Abstimmung zur Allgemeinen Ausrichtung Ende Juni 2024 in letzter Minute auf Grund zu erwartender, fehlender Mehrheit, abgesagt. Die sog. Kompromissvorschläge des Rats, die beispielsweise eine Inhaltemoderation zum Melden von CSA sowie ein unzulängliches Markierungssystem zur Abmilderung der untragbaren Fehlerquoten der Aufdeckungstechnologien vorsahen, konnten nicht darüber hinwegtäuschen, dass die private Kommunikation weiterhin droht umfassend ausgelesen zu werden. Ob das Auslesen von privaten Nachrichten durch ein direktes Auslesen auf dem Endgerät (sog. Client Side Scanning) erfolgt oder durch ein Durchbrechen der Ende-zu-Ende-Verschlüsselung macht hierbei keinen Unterschied. Denn faktisch stellen beide Varianten einen gleich unverhältnismäßigen Eingriff in den Schutz der Vertraulichkeit der Kommunikation und das Recht auf Datenschutz dar.

Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDPS) haben den Verordnungsentwurf bereits in einer Gemeinsamen Stellungnahme im Juli 2022 sehr scharf kritisiert. Mit einem weiteren, kritischen Statement, das den EU-Gesetzgeber drängt, die vom EP vorgeschlagenen Änderungen überwiegend aufzugreifen, untermauerte der EDSA im Februar 2024 seine Position. Dem schließt sich der BfDI an und setzt sich gemeinsam mit seinen europäischen Kolleginnen und Kollegen für eine deutliche Nachbesserung der Verordnung ein. Der BfDI wird sich weiterhin dafür stark machen, dass die Chatkontrolle in dieser Form nicht realisiert wird. Grundrechte müssen gewahrt werden und auch stets beim Datenschutz und dem Schutz des Fernmeldegeheimnisses gelten. Sofern der EU-Gesetzgebende den Verordnungsentwurf nicht deutlich nachbessert, werde ich mich weiterhin dafür einsetzen, dass die Verordnung in dieser Form nicht verabschiedet wird.