ChatkontrolleKein Nachweis, dass Massen-Scans verhältnismäßig sind

Die EU-Kommission veröffentlicht ihre Evaluierung der freiwilligen Chatkontrolle. Doch sie kann weiterhin nur unvollständiges Datenmaterial sammeln und scheitert daran, zu beweisen, dass freiwillige Massen-Scans verhältnismäßig sind.

- - in Überwachung - keine Ergänzungen
Magnus Brunner bei einer Rede
Der Österreicher Magnus Brunner, EU-Kommissar für Inneres und Migration, ist seit 2024 für die Chatkontrolle zuständig. – Alle Rechte vorbehalten European Union

Heimlich, still und leise hat die EU-Kommission nun doch ihren Bericht zur freiwilligen Chatkontrolle veröffentlicht. Dazu ist sie gesetzlich verpflichtet, um die Verhältnismäßigkeit der freiwilligen Massen-Scans zu untersuchen.

Seit Anfang September stand der Bericht bereits aus. Die EU-Kommission zögerte ihn monatelang hinaus und veröffentlichte ihn dann genau am Tag nach der Einigung zur Chatkontrolle im EU-Rat.

Der Kommissionsbericht kann auch nach mehreren Monaten Verzögerung wieder keine ausreichenden Fakten und Statistiken liefern, um ein Urteil über die Verhältnismäßigkeit der freiwilligen Chatkontrolle zu treffen. Die aufgelisteten Zahlen von Dienste-Anbietern und Mitgliedstaaten sind nach wie vor unvollständig und nicht hinreichend. Die EU-Kommission schlussfolgert daher zur Verhältnismäßigkeit: „Die verfügbaren Daten reichen nicht aus, um diese Frage eindeutig zu beantworten.“

Konstantin Macher von der Digitalen Gesellschaft kommt in der Frage die Verhältnismäßigkeit zu dem Ergebnis: „Es gibt auch über vier Jahre nach dem ersten Beschluss zur freiwilligen Chatkontrolle keine Evidenz, dass diese Form der Massenüberwachung funktionieren würde. Die freiwillige Chatkontrolle ist ein massiver Grundrechtseingriff, dessen Verhältnismäßigkeit nicht nachgewiesen werden kann. Sie ist unverhältnismäßig.“

Kommentieren oder Einordnen will die EU-Kommission selbst ihren Bericht offenbar nicht. Auf Nachfrage von netzpolitik.org sagte eine Sprecherin, dass „keine weitere Kommunikation“ zu dem Bericht geplant sei. Angesichts der Tatsache, dass die Chatkontrolle zumindest in einigen EU-Ländern ein breit diskutiertes Thema ist und von Experten und aus der Wissenschaft jahrelang sehr kritisch bewertet wurde, überrascht die Funkstille.

Freiwillige Chatkontrolle nur als Ausnahme erlaubt

Die freiwillige Chatkontrolle ist kaum weniger umstritten als der verpflichtende anlasslose Zwang zum Scannen, über den drei Jahre verhandelt wurde. Denn in Europa muss die Vertraulichkeit der Kommunikation von den Mitgliedstaaten sichergestellt werden. So schreibt es die EU-Datenschutzrichtlinie für elektronische Kommunikation schon seit 2002 vor.

Es ist also in Europa grundsätzlich nicht erlaubt, massenhaft Inhalte von Nachrichten freiwillig zu durchleuchten. Denn derartige Grundrechtseingriffe müssten gesetzlich geregelt werden. Doch das bisherige freiwillige Scannen beruht auf keiner expliziten Rechtsgrundlage und wäre damit schlicht rechtswidrig. Allerdings besteht seit 2021 eine vorübergehende Ausnahme, die nochmal verlängert wurde. Diese temporäre Ausnahme endet im April 2026.

Weil auch nach Jahren des Bestehens dieser Ausnahmeregelung keine wirksamen Schutzmaßnahmen oder einschränkende Regeln vorgesehen wurden, hat der Europäische Datenschutzbeauftragte, Wojciech Wiewiórowski, die Verlängerung kritisiert. Sie dürfe nicht einfach durchgewunken werden. Wiewiórowski hatte schon zu Beginn der Ausnahme im Jahr 2021 gewarnt, dass man keinen „Präzedenzfall“ schaffen dürfe.

Die EU-Kommission konnte bisher keinen Nachweis erbringen, dass die „freiwillige“ Massenüberwachung der privaten Kommunikation verhältnismäßig oder auch nur signifikant wirksam wäre. Auch der aktuelle Bericht kann das nicht leisten, wie die Kommission selbst einräumt.

In welchen Größenordnungen wird gescannt?

Dienste-Anbieter haben zwar keine Verpflichtung, massenhaft Inhalte zu scannen. Dennoch führen Konzerne wie Google, Microsoft oder Meta, beispielsweise bei Facebook oder WhatsApp, diese sogenannten CSAM-Scans seit Jahren durch. Sie sollen aufdecken, wenn Nutzer Inhalte verschicken, die sexuellen Kindesmissbrauch (child sexual abuse material, CSAM) zeigen. Genaue Vorschriften, welche Nutzernachrichten wie und wann durchleuchtet werden, macht ihnen dabei niemand.

CSAM

Wir berichten seit Jahren unter dem Stichwort CSAM (Child Sexual Abuse Material) über politische Vorhaben im Kampf gegen Missbrauchsdarstellungen von Kindern. Unterstütze unsere Arbeit!

Nur zwei Dienste-Anbieter übermittelten der EU-Kommission Angaben zur Größenordnung der freiwillig gescannten Bilder und Filme. Microsoft wertete im Jahr 2023 weltweit über 11,7 Milliarden Inhalte und im Jahr 2024 etwas unter 10 Milliarden Inhalte aus. Wie viele dieser gescannten Bilder oder Filme in der EU anfielen, ist dabei nicht spezifiziert.

Im Jahr 2023 wurden im Fall von Microsoft weltweit über 32.000 Inhalte als möglicher CSAM identifiziert, davon über 9.000 aus der EU. Berechnet man aus den milliardenfachen weltweiten Scans den Prozentsatz, kommt man bei 32.000 Inhalten auf 0,0002735 Prozent. Anders ausgedrückt schlagen die Scans bei einem von 365.000 Inhalten an. Für das Jahr 2024 sind weltweit 26.000 CSAM-Inhalte angegeben, davon 5.800 Inhalte in der EU. Das ergibt für 26.000 Inhalte 0,00027083 Prozent.

Bei LinkedIn sind die Zahlen deutlich geringer: Das Unternehmen gab für 2023 den Scan von über 24 Millionen Bildern und über einer Million Filme und für 2024 von über 22 Millionen Bildern und über zwei Millionen Filmen an. In beiden Jahren stammten diese Inhalte aus der EU. Für das Jahr 2023 meldete LinkedIn zwei Bilder (und keinerlei Filme), die Kindesmissbrauch darstellen könnten, und für 2024 dann ein Bild. Berechnet man aus den millionenfachen Scans den Prozentsatz, kommt man im Jahr 2023 auf 0,00000833 Prozent. Die massenhaften Scans brachten sowohl bei Microsoft als auch bei LinkedIn also nur minimale Ergebnisse.

Bei Google hingegen fehlte die Datenbasis, nur die Ergebnisse sind im Bericht hinterlegt: Demnach wurden im Jahr 2023 1.558 Inhalte als möglicher CSAM identifiziert, im Jahr 2024 dann 1.824 Inhalte. Der Konzern dürfte aufgrund seiner populären Dienste bei der Anzahl der Scans in eine ähnliche Größenordnung fallen wie Microsoft. Entsprechend dürften auch hier die Ergebnisse nicht einmal im Promillebereich liegen.

Anders sieht es bei Meta aus, die völlig andere Zahlen melden: Im Jahr 2023 gibt der Konzern 3,6 Millionen Inhalte an, die als möglicher CSAM identifiziert worden sind, die alle in der EU anfielen. Die Millionenzahlen setzen sich im Jahr 2024 fort: 1,5 Millionen Inhalte in der EU sind als möglicher CSAM gemeldet worden.

Diese enorm große Diskrepanz setzt sich bei den Nutzermeldungen an die Dienste-Anbieter fort: Google meldet 297 und 216 Nutzerbeschwerden für die Jahre 2023 und 2024, Meta hingegen 254.500 und 76.900. Wie diese erheblichen Unterschiede in den Größenordnungen zustandekommen, wird nicht erklärt.

Technisch sind die Massen-Scans als fehleranfällig bekannt. Das wird dann gefährlich für Nutzer, wenn Bilder oder Filme einen falschen Verdacht auslösen. Wie häufig das vorkommt, bleibt jedoch unklar. Denn miteinander vergleichbare Falsch-Positiv-Fehlerraten kann der Bericht nicht liefern, so dass die Anzahl von Falschmeldungen und Fehlerquoten vage bleibt. Laut Bundeskriminalamt ist fast die Hälfte der Verdachtsmeldungen aus den Vereinigten Staaten nach deutschem Recht strafrechtlich nicht relevant.

Wie geht es weiter mit der Chatkontrolle?

Datenmaterial weiter zu dünn

Schon im Dezember 2023 hatte die EU-Kommission eine Evaluierung der freiwilligen Chatkontrolle versucht. Die Verhältnismäßigkeit zu belegen, gelang ihr damals nicht, weil das Datenmaterial zu dünn war: Man könne keine „endgültigen Schlussfolgerungen ziehen“. Gleichwohl blieb die Ausnahme für die freiwillige Chatkontrolle weiter bestehen.

Die EU-Kommission verweist nun in ihrem Fazit wieder auf die Unzulänglichkeiten des Zahlenmaterials: Die Berichte aus den Mitgliedstaaten würden „nach wie vor ähnliche Probleme wie im ersten Bericht“ zur Chatkontrolle-Ausnahmeregelung aufweisen, nämlich auf nur „unvollständigen und fragmentierten“ Daten beruhen. Es sei daher weiter „nicht möglich, einen umfassenden und zuverlässigen Überblick“ zur Anzahl der gemeldeten Fälle von aufgedeckter sexueller Ausbeutung von Kindern oder zur die Anzahl identifizierter Kinder oder zur Anzahl von verurteilten Tätern zu geben. Die Datenerhebung und Berichterstattung der Mitgliedstaaten habe „nach wie vor erhebliche Mängel“.

Dennoch will die EU-Kommission an der freiwilligen Chatkontrolle festhalten, weil ein „numerischer Maßstab“ angesichts der „Anzahl der geretteten Kinder“ nicht der einzige Anhaltspunkt sein könne. In der Anhörung im EU-Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) hatte eine Abgeordnete wissen wollen, wie viele Kinder denn durch freiwillige Massen-Scans gerettet worden wären. Eine Antwort blieb die Kommission schuldig.

Obwohl auch der Bericht wieder keine handfesten Aussagen über tatsächlich gerettete Kinder machen kann, bleibt die Kommission bei der fast wortgleichen Schlussfolgerung wie schon in der ersten Evaluation: Es gebe „keine Anhaltspunkte dafür, dass die Ausnahmeregelung nicht verhältnismäßig ist“. Sie versucht also, den Spieß umzudrehen und damit den Verhältnismäßigkeitsgrundsatz auf den Kopf zu stellen.

Es ist keine Kleinigkeit, die Verhältnismäßigkeit einer Maßnahme zu zeigen. Denn Grundrechtseingriffe – erst recht massenhafte – müssen notwendig und verhältnismäßig sein. Das hat die Kommission zu beweisen. Das misslang jedoch anhand der Zahlen.

Stattdessen versucht sie es mit einer Verdrehung der Tatsachen: Die Kommission hat zwar keine ausreichenden Daten, um zu belegen, dass die Chatkontrolle verhältnismäßig ist, aber auch keine Hinweise, dass sie unverhältnismäßig ist. Als würde das als Nachweis genügen. Patrick Breyer, ehemaliger EU-Abgeordneter und Jurist, der sich seit Jahren dem Thema widmet, bezeichnet diese Beweislastumkehr als „juristischen Unsinn“.

Noch 245.101 Euro für digitale Freiheitsrechte.

Bist Du auch Feuer und Flamme für Grundrechte? Dann unterstütze jetzt unsere Arbeit mit einer Spende.

Über die Autor:in

Constanze Kurz ist promovierte Informatikerin, Autorin und Herausgeberin von Büchern, zuletzt Cyberwar. Ihre Kolumne „Aus dem Maschinenraum“ erschien von 2010 bis 2019 im Feuilleton der FAZ. Sie lebt in Berlin und ist ehrenamtlich Sprecherin des Chaos Computer Clubs. Sie war Sachverständige der Enquête-Kommission „Internet und digitale Gesellschaft“ des Bundestags. Sie erhielt den Toleranz-Preis für Zivilcourage und die Theodor-Heuss-Medaille.

Kontakt: E-Mail (OpenPGP)

Veröffentlicht 17.12.2025 um 08:16
Kategorie
Schlagworte
Weitere Artikel
Heuhaufen, der sprichwoertliche, in dem jemand eine Nadel sucht
Überwachung

Chatkontrolle„Total unausgegoren und technisch nicht tragfähig“

Klaus Landefeld, Vorstand des IT-Branchenverbandes eco, stellt sich im Interview gegen die EU-Pläne zur Chatkontrolle. Neben den massiven Grundrechtseinschränkungen kritisiert er auch die technischen Probleme. Die Qualität der Software, die verdächtige Inhalte erkennen soll, sei nicht ausreichend und zentrale technische Fragen ungeklärt.

Lesen Sie diesen Artikel: „Total unausgegoren und technisch nicht tragfähig“

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.