Prof. Dr. Mario Martini / Rene Hermann
ZD 2026, 305 Wechselnde Hauptdarsteller, viele Akte, immer derselbe Konflikt: Die sog. Chatkontrolle liefert das Drehbuch für ein bemerkenswertes politisches Drama unserer digitalen Gegenwart (siehe dazu auch ausf. Martini/Hermann
ZfDR 2026, 37 ff.). Seit mehreren Jahren ringen Kommission, Rat und Parlament um eine Lösung. Und nicht zum ersten Mal durchkreuzt das Europäische Parlament die Dramaturgie der Kommission: Am 26.3.2026 lehnte es den Vorschlag ab, die sog. freiwillige Chatkontrolle zu verlängern. Diese erlaubte es Plattformbetreibern, private Nachrichten der Nutzer anlasslos auf Darstellungen sexuellen Missbrauchs (Child Sexual Abuse - CSA) zu scannen. Seit 2021 galt die Übergangsregelung (VO (EU) 2021/1232, ABl. L 274/41) - nun lief sie am 3.4.2026 ersatzlos aus.
Europas digitale Zwickmühle
Je länger eine tragfähige Nachfolgeregelung auf sich warten lässt, desto stärker wächst der Handlungsdruck. Schätzungen zufolge kursierten bereits im Jahr 2023 mehr als 100 Mio. Bilder und Videos im Netz, die sexuellen Missbrauch Minderjähriger zeigen. Deutschland nimmt dabei eine traurige Spitzenposition ein: Unter keiner anderen Top-Level-Domain verbreiten Täter solche Inhalte häufiger als unter „.de“. Auch mit Blick darauf nannte Bundeskanzler Merz die Entscheidung des Parlaments einen „schweren Rückschlag für den Schutz unserer Kinder“ und kündigte einen nationalen Alleingang an.
Zwei Dramen, viele Akte
Wer die seit fast vier Jahren laufende politische Tragödie um die Chatkontrolle verstehen will, muss zwischen zwei grundsätzlich verschiedenen Instrumenten unterscheiden: der freiwilligen und der verpflichtenden Kontrolle.
Die freiwillige Chatkontrolle erlaubt - als Ausnahme von der ePrivacy-RL - Anbietern von Diensten wie Gmail, Outlook, Instagram oder Snapchat, Inhalte aus eigenem Antrieb auf CSA-Material zu scannen. Ein sog. PhotoDNA-Hashwertabgleich macht das möglich. Technisch funktioniert das aber nur bei unverschlüsselten Daten, also dort, wo der Anbieter mit Hilfe seiner Infrastruktur auf Nachrichteninhalte zugreifen kann. Bei Ende-zu-Ende-verschlüsselten Messenger-Diensten, wie Signal, WhatsApp oder Telegram, läuft die freiwillige Chatkontrolle ins Leere.
Hier setzt die verpflichtende Chatkontrolle an. Die Kommission wollte diese bereits im Jahr 2022 durch die CSA-Verordnung (COM(2022) 209 final) einführen. Der Entwurf sah sog. Aufdeckungsanordnungen vor. Damit sollten nationale Behörden jeden Diensteanbieter - auch solche, die ihre Inhalte Ende-zu-Ende-verschlüsseln - zwingen können, die Kommunikation ihrer Nutzer nach Darstellungen sexuellen Missbrauchs zu durchsuchen. Das technisch naheliegende Mittel der Wahl ist das sog. Client-Side-Scanning. Die Plattform durchleuchtet dann Nachrichten, bevor sie das Endgerät des Nutzers verschlüsselt verlassen. Denn bei Ende-zu-Ende-verschlüsselter Kommunikation hat der Diensteanbieter selbst keinen Zugriff auf die Inhalte - er transportiert verschlüsselte Datenpakete, ohne sie einsehen zu können. Diesen Verschlüsselungsschutz durchbräche die verpflichtende Chatkontrolle (sobald eine Aufdeckungsanordnung ergeht), ohne dass der Nutzer dies steuern oder verhindern könnte - und zwar anlasslos, bei jeder Nachricht jedes Nutzers innerhalb der EU, unabhängig von einem konkreten Verdacht.
Wer private Kommunikation durchleuchtet, greift tief in die Grundrechte der Art. 7 und 8 GRCh ein. Diese schützen nicht nur das Recht auf Achtung des Privatlebens, sondern auch die vertrauliche Kommunikation. Wie sensibel die Maßnahme ist, verdeutlicht auch ein Vergleich mit einer anderen (viel diskutierten) staatlichen Maßnahme, die sogar weniger eingriffsintensiv als die verpflichtende Chatkontrolle ist: die sog. Vorratsdatenspeicherung. Verkehrsdaten anlasslos auf Vorrat zu speichern, lässt das Unionsrecht nur in Ausnahmefällen zu - unter strengen materiellen sowie prozeduralen Voraussetzungen (insbesondere hinreichend bestimmte Rechtsgrundlage, enge Zeitbegrenzung, beschränkter Personenkreis und Richtervorbehalt).
Das Ende der freiwilligen Chatkontrolle: ein Pyrrhussieg
Schon die freiwillige Chatkontrolle, die verschlüsselte Nachrichten unangetastet ließ, war sensibel und mit einer hohen Fehlerquote behaftet. Eine kryptografische Analyse legte offen: Angreifer konnten im PhotoDNA-Verfahren bekanntes CSA-Material so manipulieren, dass es durch das Raster fällt - und umgekehrt harmlose Bilder so verändern, dass das System sie fälschlich als CSA-Material meldet. Der Evaluationsbericht der Kommission zur freiwilligen Chatkontrolle (COM(2025) 740 final) bemängelt zudem: Die Anbieter konnten nicht nachweisen, dass sie die grundrechtlichen Mindestanforderungen der Verordnung eingehalten haben.
Dennoch wäre es voreilig, das Auslaufen der freiwilligen Chatkontrolle als Triumph der Grundrechte zu beklatschen. Denn das Ende der Übergangsregelung reißt eine tiefe Lücke in die europäische Strafverfolgungsarchitektur des Kinderschutzes. Die bisherige freiwillige Praxis US-amerikanischer Anbieter war in das globale Meldesystem des National Center for Missing and Exploited Children (NCMEC) eingebettet. Dessen Treffermeldungen lieferten dem BKA regelmäßig die entscheidenden Hinweise für Ermittlungsverfahren und Hausdurchsuchungen. Diese Meldekette reißt nun faktisch ab. Gewiss: Das System litt nicht nur an hohen Fehlerquoten, sondern auch an einer strukturellen Abhängigkeit von wenigen marktmächtigen US-Konzernen (allen voran Meta) und deren Wohlwollen sowie unzureichender europäischer Aufsicht. Aber die freiwillige Chatkontrolle half, zumindest einen Bruchteil schwerer Straftaten aufzuklären oder zu verhindern - Taten, hinter denen sich jeweils unermessliches menschliches Leid verbirgt. Dass die Ausnahmeregelung ersatzlos ausläuft, ist daher höchstens eine Pause zwischen den Akten des Dramas - keine Katharsis. Es braucht ein neues Drehbuch, um eine grundrechtskonforme europäische Alternative zu schaffen.
Hintertür für den guten Zweck?
Während die Übergangsregelung ausgelaufen ist, ringen die Unionsorgane hinter den Kulissen weiter um eine Einigung. Der nächste Akt ist für Sommer 2026 angesetzt. Im Herbst 2025 hatte der Rat einen Kompromissvorschlag unterbreitet, der auf verpflichtende Aufdeckungsanordnungen verzichtete. Er wollte die Erlaubnis zu freiwilligen Scans dauerhaft sekundärrechtlich verankern.
Das Parlament hatte sich bereits mehrfach für einen grundrechtsschonenderen Ansatz ausgesprochen, der auf anlassbezogene Kontrollen unter richterlichem Vorbehalt setzt. Aufdeckungsanordnungen mit der Pflicht, Ende-zu-Ende-verschlüsselte Kommunikation zu durchbrechen, betreffen nämlich ihrer Natur nach nicht nur potenzielle Täter, sondern mehrere hundert Millionen europäische Nutzer verschlüsselter Messenger-Dienste.
Wer Hintertüren in die Verschlüsselung einbaut, reißt zwangsläufig Löcher in die Kommunikationssicherheit aller Bürger. Denn es ist technisch nicht möglich, Erkennungstechnologien zu implementieren, die CSA-Material in Ende-zu-Ende-verschlüsselter Kommunikation aufspüren, ohne zugleich sicherheitstechnische Schwachstellen zu eröffnen. Egal welche Umgehungstechnik zum Zug kommt: Sämtliche Implementierungsformen schaffen Angriffsflächen, die Cyberkriminelle und staatliche Akteure früher oder später ausnutzen. Was im Gewand einer Kinderschutzmaßnahme die Bühne betritt, demaskiert sich im Ergebnis rasch als Sicherheitsrisiko für alle Nutzer.
Hinzu tritt die Gefahr eines regulatorischen Dammbruchs: Einmal sekundärrechtlich erlaubt, lässt sich die Aufdeckungsanordnung leicht von ihrem ursprünglichen Einsatzziel entkoppeln und ausweiten. Schon 2022 verlangte Europol bei einem Treffen mit der Kommission unverblümt unbegrenzten Zugriff auf sämtliche Daten, die sich aus der Chatkontrolle gewinnen lassen - und ließ im gleichen Atemzug verlauten, dass sich die Aufdeckungsanordnung auf andere Kriminalitätsbereiche ausweiten ließe. Wer die Inhaltskontrolle verschlüsselter Nachrichten ermöglicht, bereitet einer schleichenden Entgrenzung den Boden: dem staatlichen „Mitlesen“ von Nachrichten für andere Zwecke - etwa, um Regierungskritiker zu überwachen bzw. zu bekämpfen. Was der Gesetzgeber heute mit Kinderschutz begründet, kann morgen politische Dissidenten, Journalisten oder Berufsgeheimnisträger ins Visier der Ermittlungsbehörden rücken und damit eine Dynamik in Gang setzen, die sich nur schwer einfangen lässt. Das eigentliche Risiko liegt also nicht darin, die Verschlüsselung aufzubrechen, um sexuelles Missbrauchsmaterial zu identifizieren, sondern in der infrastrukturellen Richtungsentscheidung, die der Unionsgesetzgeber damit vornimmt: Ein Überwachungsregime, das technisch darauf ausgelegt ist, Kommunikation flächendeckend zu durchleuchten, lässt sich dauerhaft kaum einhegen. Private Kommunikation faktisch pauschal zu überwachen, rüttelt an den Grundfesten freiheitlicher Gesellschaften.
Ein neues Drehbuch: Security by Design
Dass der Bundeskanzler nun eine nationale Lösung sucht, zeigt: Die Bundesregierung erkennt den Handlungsbedarf. Doch CSA-Material verbreitet sich grenzüberschreitend - es braucht daher einen unionsweit einheitlichen Rechtsrahmen, keinen nationalen Schnellschuss und keine Symbolpolitik.
Auf dem schmalen Grat zwischen Sicherheit und Freiheitsschutz im digitalen Kosmos gibt es keinen Königsweg - aber Alternativen. Es empfiehlt sich ein abgestuftes Schutzkonzept, das auf zwei Ebenen ansetzt.
1. Der Unionsgesetzgeber sollte Anbieter zu freiwilligen Schutzmaßnahmen anhalten, die ohne Zugriff auf verschlüsselte Inhalte auskommen. Dazu kann es etwa gehören, nicht die Kommunikationsinhalte, sondern „nur“ die Metadaten der Bilder (also Aufnahmezeitpunkte, Gerätenamen oder geografische Positionen) zu analysieren. Eine Studie wertete über 130.000 Bilddateien aus realen Ermittlungsverfahren aus und illustrierte: Auf diesem Weg lässt sich sog. self-generated CSA-Material identifizieren - ohne auf die Bildinhalte selbst zugreifen zu müssen. Weitere Ansätze - etwa die Dateipfadklassifikation oder die verhaltensbasierte Mustererkennung - nutzen strukturelle Merkmale der Dateiablage oder werten das Kommunikationsverhalten aus, ohne verschlüsselte Inhalte zu kompromittieren. Diese Verfahren sind technisch heute bereits ähnlich ausgereift und weniger eingriffsintensiv (allerdings auch weniger wirksam) als die Chatkontrolle. Auf die Inhalte selbst darf der Staat nur im begründeten Einzelfall zugreifen - und nur, wenn ein Richter es anordnet.
2. Flankierend braucht es einheitliche Regelungen zur Altersverifikation, ein eigenes EU-Zentrum nach Vorbild des NCMEC sowie größere Anstrengungen an den Entstehungsorten von CSA-Material: dem privaten Umfeld von Kindern. Denn die meisten Fälle sexuellen Kindesmissbrauchs spielen sich nicht im Netz ab, sondern in der analogen Nähe der Opfer: in Familien, Vereinen, Schulen.
Im Gespräch sind auch Lösungen, die Smartphone-Kameras schon by Design daran hindern, sexuelle Inhalte Minderjähriger anzufertigen. Doch auch dieser Ansatz kommt technisch letztlich nicht ohne Kontrolle des Inhalts einer Foto- bzw. Videoaufnahme aus. Damit stößt er auf ähnliche Hürden wie Upload-Filter und die verpflichtende Chatkontrolle. Zielführend ist dieser Weg nur, wenn die Technik sich darauf beschränken kann, Dateiformate, nicht aber Inhalte zu scannen - ob das heute schon zuverlässig gelingt, ist unklar.
Was bleibt
Der Vorhang ist (vorerst) gefallen, alle Fragen bleiben offen. Auf der Verhandlungsbühne des Trilogs wird sich zeigen, ob es der Union gelingt, Kinderschutz und vertrauliche digitale Kommunikation in einen schonenden Ausgleich zu bringen. Die Ende-zu-Ende-Verschlüsselung flächendeckend aufzubrechen, löste den gordischen Knoten jedenfalls nicht - dies schriebe die Tragödie nur fort.
.jpg?sfvrsn=cee2deb9_1)
Prof. Dr. Mario Martini ist Lehrstuhlinhaber an der UniBw in München und Leiter des Themenbereichs „Digitale Transformation im Rechtsstaat“ am Deutschen Forschungsinstitut für öffentliche Verwaltung (FÖV).
Rene Hermann ist Forschungsreferent am FÖV und Rechtsreferendar.