Die EU-Chatkontrolle – Was Unternehmen jetzt wissen sollten
Die EU plant eine neue Verordnung zur Überwachung privater Chats, die von Kritikern auch als „EU-Chatkontrolle“ bezeichnet wird. Anbieter von Messenger-Diensten oder Apps müssten künftig die Inhalte der Nutzerkommunikation auf illegale Inhalte scannen – selbst in eigentlich verschlüsselten Chats. Das Vorhaben ist aus Datenschutzsicht hoch brisant. Schon jetzt warnen Experten vor den Folgen: Eine durchgesetzte Chatkontrolle könnte erhebliche Sicherheitslücken schaffen und das Vertrauen in digitale Kommunikation untergraben. Unternehmen sollten daher frühzeitig verstehen, was auf sie zukommen könnte.
Was ist die EU-Chatkontrolle?
Die Grundlage bildet ein EU-Gesetzentwurf zur „Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“ aus dem Mai 2022. Er soll Anbieter von Internetdiensten verpflichten, die privaten Online-Kommunikationen ihrer Nutzer nach kinderpornografischen Inhalten (CSAM) und Anbahnungsversuchen (Grooming) zu durchsuchen.
Der Entwurf ist „technologieneutral“ formuliert, das heißt: Die Regeln sollen unabhängig davon gelten, ob Inhalte Ende-zu-Ende verschlüsselt sind. Geplant ist, dass KI-Systeme Chatverläufe nach bekannten und neuen illegalen Inhalten durchsuchen. Die konkrete technische Umsetzung ist noch unklar. Klar ist jedoch: Bei einem Fund müssen Anbieter eine Meldung an Behörden abgeben – de facto eine flächendeckende Kommunikationsüberwachung.
Wer unterstützt die Chatkontrolle – und wer lehnt sie ab?
Politisch ist die Chatkontrolle hoch umstritten. Die EU-Kommission und Staaten wie zum Beispiel Dänemark, Irland und Spanien sprechen sich klar für das Vorhaben aus. Auf der Gegenseite stehen u. a. Deutschland, Österreich, die Niederlande und Polen, die grundrechtliche Bedenken äußern und sich bislang gegen eine verpflichtende Umsetzung stellen.
Bereits 2024 versuchte die belgische Ratspräsidentschaft Kompromisse zu schaffen – etwa durch Einschränkungen auf den Scan bekannter Inhalte und den Ausschluss verschlüsselter Texte. Dieser Entwurf wurde allerdings von einer Sperrminorität blockiert. Auch 2025 bemüht sich Polen als Vorsitz im Ministerrat um eine Einigung. Der Vorschlag: Freiwillige Scans statt Pflicht. Doch viele Mitgliedstaaten beharren auf einer verpflichtenden Lösung.
Ab Juli 2025 übernimmt Dänemark den Vorsitz im Ministerrat – ein klarer Befürworter der Chatkontrolle. Beobachter erwarten, dass dies den politischen Druck erhöhen wird, eine Einigung zu erzielen. Deutschland kommt dabei eine Schlüsselrolle zu. Die bisherige Bundesregierung zeigte sich offen für das Scannen unverschlüsselter Inhalte, lehnte aber Eingriffe in verschlüsselte Kommunikation ab. Eine neue Regierung könnte diesen Kurs ändern – mit erheblichen Auswirkungen auf die EU-Mehrheitsverhältnisse.
Argumente für und gegen die Chatkontrolle
Im Zentrum der Pro-Argumente steht der Kinderschutz. Inhalte wie Missbrauchsdarstellungen und Grooming sollen schneller erkannt und bekämpft werden. Die EU-Kommission hält neue Maßnahmen für unerlässlich. Unterstützer setzen auf moderne KI-Filter, die möglichst wenig in die Privatsphäre Unbeteiligter eingreifen sollen – konkrete technische Details dazu fehlen bisher.
Die Gegenstimmen sind laut, insbesondere von Bürgerrechtlern, Datenschutzbeauftragten und IT-Sicherheits-Expert:innen. Die Chatkontrolle bedeute eine anlasslose Massenüberwachung aller EU-Bürger:innen. Sie greife tief in Grundrechte wie die Privatsphäre und das Briefgeheimnis ein und stelle einen unverhältnismäßigen Eingriff dar.
Ein besonders brisantes Gegenargument ist die Gefährdung der IT-Sicherheit. Um verschlüsselte Inhalte zu scannen, müssten Anbieter entweder Verschlüsselung abschwächen oder umgehen – etwa durch sogenannte Hintertüren. Solche Lücken könnten auch von Cyberkriminellen oder ausländischen Geheimdiensten genutzt werden. Leidtragende wären vor allem unbescholtene Nutzer:innen, während Täter:innen leicht auf alternative, nicht konforme Plattformen ausweichen könnten.
Zudem besteht eine hohe Fehleranfälligkeit durch KI: Falschmeldungen (False Positives) sind zu erwarten. Beispielsweise, wenn harmlose Urlaubsfotos fälschlich als Missbrauch interpretiert werden. Die manuelle Nachprüfung solcher Fälle würde behördliche Ressourcen massiv binden, bei gleichzeitig fraglichem Nutzen.
Wie könnte die Verschlüsselung umgangen werden?
Um auch Ende-zu-Ende-verschlüsselte Chats überwachen zu können, gibt es zwei technische Optionen. Würden Hintertüren in der Verschlüsselung eingebaut werden, müssten Anbieter Wege schaffen, die Inhalte trotz Verschlüsselung auszulesen. Beim Client-Side-Scanning würden sämtliche Nachrichten vor der Verschlüsselung direkt auf dem Gerät der Nutzer:innen analysiert. Beide Varianten untergraben die Sicherheit vertraulicher Kommunikation.
Jede Hintertür stellt ein potenzielles Einfallstor für Angriffe dar – ob durch Hacker, Spionagedienste oder organisierte Kriminalität. Für Unternehmen bedeutet das: Kommunikation mit Kunden, Partnern oder Mitarbeitenden wäre nicht mehr uneingeschränkt vertraulich. Gleichzeitig müssten Anbieter Prozesse aufsetzen, um der Scan-Pflicht nachzukommen und dabei gleichzeitig den Schutz von Geschäftsgeheimnissen und sensiblen Daten sicherstellen. Ein Balanceakt, der kaum umsetzbar ist.
Auch Client-Side-Scanning ist aus Sicherheits- und Datenschutzsicht höchst problematisch. Denn: Die Überwachung erfolgt direkt auf dem Gerät. Jede Nachricht, jedes Bild wird automatisch geprüft, ohne konkreten Anlass. Zudem ist es unrealistisch, dass solche Scanner dauerhaft geheim bleiben. Einmal in Millionen Geräten verbaut, könnten sie umgangen oder manipuliert werden. Vertrauliche Firmendaten wären potenziell zugänglich.
App-Anbieter stehen vor der Herausforderung, ihre Dienste entsprechend anzupassen – was mit erheblichen technischen und wirtschaftlichen Aufwänden verbunden wäre. Einige Messenger-Dienste, darunter WhatsAppund Threema, haben bereits angekündigt, bei verpflichtender Einführung der Chatkontrolle den EU-Markt zu verlassen, statt ihre Verschlüsselung aufzuweichen.
Fazit: Was Unternehmen jetzt tun sollten
Die EU-Chatkontrolle ist bislang nicht beschlossen. Die Verhandlungen sind ins Stocken geraten, ein Konsens innerhalb der EU ist bislang nicht in Sicht. Wann – oder ob – das Gesetz in Kraft tritt, bleibt ungewiss.
Für Unternehmen besteht daher derzeit kein akuter Handlungsbedarf. Dennoch ist es ratsam, die Entwicklungen aufmerksam zu verfolgen. Insbesondere der bevorstehende Vorsitzwechsel im Juli 2025 zu Dänemark könnte neue Dynamiken bringen. Möglich ist auch, dass kurz vor Ende der EU-Legislaturperiode noch ein Durchbruch erzwungen wird.
Unternehmen sollten bereits jetzt prüfen, wie sich potenzielle Vorgaben auf ihre Kommunikationsinfrastruktur und App-Sicherheit auswirken würden – und erste Überlegungen zu möglichen technischen und organisatorischen Maßnahmen anstellen.
