Es ist ein Vorgang, der selbst für Brüsseler Verhältnisse bemerkenswert ist: Die sogenannte Chatkontrolle – das automatisierte Durchsuchen privater Nachrichten durch Tech-Konzerne – ist seit dem 3. April 2026 außer Kraft. Das EU-Parlament hatte sich im März zunächst dafür ausgesprochen, die Scans auf konkrete Verdachtsfälle zu begrenzen. Nachdem die Verhandlungen mit dem Rat gescheitert waren, lehnte es die Verlängerung schließlich mit 311 zu 228 Stimmen ab.
Doch nun soll das tote Gesetz im Eilverfahren wieder zum Leben erweckt werden. Am Dienstag, dem 7. Juli, entscheidet das Plenum in Straßburg zunächst über die Dringlichkeit. Wird sie angenommen, könnte die Sachabstimmung bereits am Donnerstag stattfinden – ausgerechnet am letzten Sitzungstag vor der parlamentarischen Sommerpause.
Der Rat will die ausgelaufene Ausnahme bis zum 3. April 2028 wieder in Kraft setzen. Internetanbieter sollen damit erneut freiwillig private Kommunikation nach Darstellungen sexuellen Kindesmissbrauchs durchsuchen, Inhalte entfernen und Verdachtsfälle melden dürfen. Offiziell soll damit eine „längere Rechtslücke“ verhindert werden.

Wie Brüssel sich selbst in die Chatkontrolle hineinregulierte
Um zu verstehen, was hier tatsächlich passiert, muss man zurückblicken.
US-Konzerne wie Google, Meta oder Microsoft durchsuchen bestimmte Dienste bereits seit Jahren automatisiert nach Darstellungen sexuellen Kindesmissbrauchs. Finden sie mutmaßliches Missbrauchsmaterial, melden sie es an die amerikanische Meldestelle NCMEC. Von dort werden Hinweise auch an europäische Polizeibehörden und Europol weitergeleitet.
Das US-Recht verpflichtet Anbieter zwar, ihnen bekannt gewordene Verdachtsfälle zu melden. Es verpflichtet sie aber nicht generell dazu, sämtliche privaten Nachrichten ihrer Nutzer vorsorglich zu durchsuchen. Das Scannen selbst ist eine freiwillige Entscheidung der Konzerne. Erst wenn sie etwas entdecken, greift die amerikanische Meldepflicht.
Europa hatte sich dennoch zunehmend an diesen Meldestrom gewöhnt. Ein erheblicher Teil der Hinweise, mit denen europäische Ermittler arbeiten, entsteht nicht durch eigene europäische Ermittlungen, sondern durch die automatisierten Systeme amerikanischer Plattformen.
Dann kam die EU mit ihrer eigenen Regulierung ins Spiel.
Mit dem 2018 beschlossenen Europäischen Kodex für elektronische Kommunikation stellte Brüssel Messenger, Webmail und Internettelefonie rechtlich weitgehend auf eine Stufe mit Telefon und SMS. Seit dem 21. Dezember 2020 fielen damit auch Dienste wie WhatsApp, Facebook Messenger oder webbasierte E-Mail-Angebote unter die ePrivacy-Richtlinie – das digitale Briefgeheimnis.
Was als Ausweitung des Datenschutzes gedacht war, hatte eine offenbar nicht ausreichend durchdachte Nebenwirkung: Die jahrelange Scanpraxis der Tech-Konzerne kollidierte plötzlich mit dem strengeren Schutz privater Kommunikation. Brüssel hatte damit selbst einen Rechtskonflikt geschaffen.
Die EU hätte nun sagen können: Das digitale Briefgeheimnis gilt auch gegenüber Google, Meta und Microsoft – beendet die anlasslosen Scans. Stattdessen entschied sie sich für den umgekehrten Weg. Sie schuf eine Ausnahme vom eben erst ausgeweiteten Datenschutz, damit die Konzerne weitermachen konnten.
Erst reguliert, dann wieder ausgenommen
Die Verordnung von 2021 spricht diesen Zusammenhang ungewöhnlich offen aus. Einige Anbieter hätten solche Technologien bereits freiwillig eingesetzt. Damit sie diese Maßnahmen nach dem 20. Dezember 2020 weiterhin nutzen könnten, brauche es eine Ausnahme von bestimmten Bestimmungen der ePrivacy-Richtlinie.
Die sogenannte Chatkontrolle 1.0 war deshalb nicht einfach ein völlig neues Kinderschutzinstrument. Sie war zunächst eine gesetzliche Reparaturmaßnahme für eine bestehende Überwachungspraxis amerikanischer Plattformen.
Der Kinderschutz war dabei nicht bedeutungslos. Er war die politische Rechtfertigung dafür, dass Brüssel die Scans erhalten wollte. Der konkrete gesetzgeberische Auslöser war jedoch die selbst geschaffene Kollision zwischen der europäischen Kommunikationsreform und den Methoden der Tech-Konzerne.
Die EU stand vor einer grundsätzlichen Entscheidung: Entweder sie setzte das digitale Briefgeheimnis konsequent durch und zwang die Plattformen, ihre verdachtsunabhängigen Kontrollen einzustellen. Oder sie machte eine Ausnahme, weil europäische Behörden den daraus entstehenden Meldestrom nicht verlieren wollten. Brüssel entschied sich für die Ausnahme.
Damit wurde eine bemerkenswerte Abhängigkeit zementiert: Amerikanische Unternehmen durchsuchen Kommunikation europäischer Nutzer, melden ihre Treffer an eine amerikanische Organisation, und von dort gelangen die Hinweise zurück nach Europa.
Die Ausnahme löste nicht einmal das ganze Rechtsproblem
Besonders pikant ist: Die Ausnahme beseitigte zwar bestimmte Hindernisse aus dem ePrivacy-Recht. Eine vollständige und eindeutige Rechtsgrundlage nach der Datenschutz-Grundverordnung schuf sie jedoch nicht.
Auch der Europäische Datenschutzbeauftragte – eine unabhängige EU-Institution zur Kontrolle der Datenverarbeitung durch EU-Organe, derzeit unter Leitung von Wojciech Wiewiórowski – stellte noch im Februar 2026 fest, dass zentrale Fragen zur Rechtsgrundlage, Verhältnismäßigkeit und Verhinderung allgemeiner und unterschiedsloser Scans weiterhin nicht ausreichend geklärt seien.
„Chatkontrolle 1.0“ und „2.0“: Zwei verschiedene Gesetze
Ein großer Teil der Verwirrung entsteht dadurch, dass zwei unterschiedliche Vorhaben unter demselben Begriff diskutiert werden.
Die sogenannte Chatkontrolle 1.0 ist die ePrivacy-Ausnahme von 2021. Sie verpflichtete Unternehmen nicht zum Scannen. Sie erlaubte ihnen, ihre bereits bestehenden freiwilligen Kontrollen unter bestimmten Voraussetzungen fortzuführen.
Die sogenannte Chatkontrolle 2.0 ist der 2022 von der damaligen Innenkommissarin Ylva Johansson vorgelegte dauerhafte Rechtsrahmen. Der ursprüngliche Entwurf ging wesentlich weiter: Anbieter sollten durch behördliche Aufdeckungsanordnungen dazu verpflichtet werden können, nach bekannten und unbekannten Missbrauchsdarstellungen sowie nach Grooming zu suchen.
Besonders umstritten ist die Einbeziehung verschlüsselter Kommunikation. Bei Ende-zu-Ende-verschlüsselten Messengern sind Inhalte nach der Verschlüsselung auch für den Anbieter nicht mehr lesbar. Soll trotzdem gescannt werden, müsste die Analyse vor der Verschlüsselung oder direkt auf dem Endgerät stattfinden.
Kritiker sprechen von Client-Side-Scanning. Hunderte Wissenschaftler und IT-Sicherheitsexperten warnten vor den Folgen. Denn eine solche Technik kann grundsätzlich nicht nur nach Missbrauchsmaterial suchen. Ist der Mechanismus einmal eingebaut, kann die Liste der gesuchten Inhalte politisch erweitert werden.
Genau darin liegt die zentrale Gefahr: Nicht nur die aktuelle Suchliste entscheidet über die Reichweite eines Überwachungssystems. Entscheidend ist, dass die technische Möglichkeit überhaupt geschaffen wird.
Ein Hollywood-Star, Millionen und Brüsseler Lobbyismus
Wie stark politische, wirtschaftliche und technologische Interessen bei der dauerhaften Chatkontrolle ineinandergreifen, zeigten Recherchen von „Zeit Online“, „Le Monde“ und „Balkan Insight“.
Im Zentrum stand die von Schauspieler Ashton Kutcher mitgegründete Organisation Thorn. Thorn tritt als Kinderschutzorganisation auf, entwickelt mit „Safer“ aber zugleich selbst eine Technologie zur Erkennung von Missbrauchsmaterial. Von einer gesetzlichen Ausweitung solcher Kontrollen könnte die Organisation damit unmittelbar profitieren.
Allein 2022 zahlte Thorn mehr als 600.000 Euro an die Lobbyagentur FGS Global. Organisationen aus dem für die Chatkontrolle werbenden Netzwerk ECLAG erhielten seit 2019 Millionen von der Oak Foundation.
Johansson schrieb Thorn, auf dem Weg zum Gesetzesvorschlag habe man „viele gemeinsame Momente“ erlebt. Als Kutcher 2023 nach Brüssel kam, sagte das Büro der Kommissarin einen Termin innerhalb weniger Minuten grundsätzlich zu.
Als der politische Widerstand wuchs, ließ die Kommission zudem gezielte Werbung auf X schalten. Nutzer wurden anhand mutmaßlicher politischer oder religiöser Interessen angesprochen beziehungsweise ausgeschlossen. Der Europäische Datenschutzbeauftragte rügte die Kommission später wegen der rechtswidrigen Verarbeitung sensibler Daten.
Ausgerechnet bei der Bewerbung eines Überwachungsgesetzes verstieß Brüssel damit selbst gegen europäische Datenschutzregeln.
Was die Scanner wirklich treffen
Die Befürworter verweisen auf Millionen Meldungen. Doch eine hohe Zahl automatisierter Treffer sagt noch nichts darüber aus, wie viele neue Opfer tatsächlich gefunden, wie viele Täter identifiziert oder wie viele Verurteilungen erreicht wurden.
Automatisierte Systeme können auch vollkommen legale Bilder und Nachrichten erfassen. Besonders hoch ist das Fehlerrisiko bei der Suche nach bislang unbekannten Darstellungen und bei der automatisierten Erkennung angeblicher Kontaktanbahnungen.
Welche Folgen das haben kann, zeigt ein Fall aus den USA: Ein Vater fotografierte auf Anweisung eines Arztes den entzündeten Genitalbereich seines Sohnes. Googles System schlug an. Die Polizei stellte das Verfahren ein, der Mann verlor dennoch dauerhaft den Zugriff auf seinen Google-Account, seine E-Mails und seine gespeicherten Daten.
Die Maschine erkannte ein Bild. Den medizinischen und familiären Kontext konnte sie nicht verstehen.
Wer die Infrastruktur besitzt, bestimmt später ihren Zweck
Die größte Gefahr der Chatkontrolle liegt deshalb nicht nur in den gegenwärtigen Fehlern. Sie liegt in der Infrastruktur, die im Hintergrund aufgebaut wird. Eine technische Anlage, die private Kommunikation automatisiert untersuchen, Inhalte klassifizieren, Nutzern zuordnen und Treffer an Behörden weiterleiten kann, bleibt nicht zwangsläufig dauerhaft auf einen einzigen Deliktsbereich beschränkt.
Schon 2022 regte Europol laut einem internen Protokoll an, entsprechende Erkennungstechnologien künftig auch für andere Kriminalitätsbereiche einzusetzen. Der Kreis der gesuchten Inhalte kann politisch verändert werden. Was heute ausschließlich nach Missbrauchsmaterial sucht, könnte morgen nach Terrorpropaganda, Extremismus, angeblicher Desinformation oder anderen unerwünschten Inhalten fahnden.
Ist die technische Zugriffsmöglichkeit einmal vorhanden, muss die Infrastruktur nicht neu geschaffen werden. Es genügt, ihre Suchkriterien zu erweitern.
Parallel arbeitet die EU an weiteren digitalen Großprojekten: der europäischen digitalen Identität, digitalen Altersnachweisen, grenzüberschreitenden Datenräumen und immer umfassenderen Regeln zur Identifizierung von Internetnutzern. Diese Projekte sind rechtlich nicht Teil der Chatkontrolle. Sie haben aber einen gemeinsamen infrastrukturellen Kern: Menschen, Geräte, Kommunikation und Zugangsberechtigungen sollen immer eindeutiger zugeordnet und automatisiert überprüft werden können.
Bei einer Veranstaltung zur Digitalen ID im Europäischen Parlament warnte der Datenanalyst Tom Lausen davor, dass die EUDI-Wallet zum zentralen Identitätsanker werden könnte. Entscheidend sei nicht nur, dass Daten gesammelt würden. Kritisch werde es, sobald Informationen aus unterschiedlichen Lebensbereichen über eine eindeutige Identität miteinander verknüpft werden könnten. Mit jedem neuen System wächst die technische Möglichkeit, Daten, Identitäten und Zugangsentscheidungen miteinander zu verbinden.
Der selbst geschaffene Notfall
Brüssel begründet das aktuelle Eilverfahren mit einer „Rechtslücke“. Seit dem Auslaufen der Ausnahme am 3. April fehle den Plattformen die Rechtssicherheit, um private Kommunikation weiterhin freiwillig nach Missbrauchsmaterial zu durchsuchen.
Ohne diese Scans entstehen weniger Verdachtsmeldungen. Die US-Anbieter leiten ihre Funde an NCMEC weiter, von dort gelangen sie auch an europäische Ermittler. Genau diesen Meldestrom will die EU sichern.
Das Eilverfahren dient daher nicht einfach dazu, irgendeine abstrakte offene Rechtsfrage zu klären. Es soll den amerikanischen Plattformen erneut erlauben, europäische Kommunikation automatisiert zu untersuchen, damit die daraus entstehenden Meldungen nicht versiegen.
Verkauft wird das als alternativloser Kinderschutz. Doch die tatsächliche politische Wahl lautet nicht: Chatkontrolle oder völlige Untätigkeit. Scans könnten auf konkrete Verdachtsfälle beschränkt werden. Ermittlungen könnten eine richterliche Anordnung voraussetzen. Die Suche könnte sich auf bereits bekannte und eindeutig identifizierte Missbrauchsdateien beschränken. Verschlüsselte Kommunikation könnte vollständig ausgenommen werden. Europa könnte außerdem eigene Ermittlungs- und Meldestrukturen aufbauen, statt sich dauerhaft auf freiwillige Systeme amerikanischer Unternehmen zu verlassen.
Genau eine solche engere Lösung hatte das EU-Parlament im März unterstützt. Der Rat bestand dagegen auf der Fortsetzung der breiteren freiwilligen Scans.
Plötzlich ein Notfall – obwohl das Ablaufdatum seit Jahren feststand
Aktuell wird nun diskutiert, die ausgelaufene Regelung per Dringlichkeitsverfahren wieder in Kraft zu setzen. Der Rat erklärt, die Maßnahme müsse „so schnell wie möglich“ beschlossen werden, um eine längere Rechtslücke zu verhindern. Die EVP, die das Verfahren beantragt hat, spricht sogar von Zehntausenden Meldungen, die nun täglich verloren gingen.
Das Ablaufdatum 3. April 2026 stand seit der Verlängerung im Jahr 2024 fest. Die Kommission legte ihren neuen Vorschlag bereits im Dezember 2025 vor. Das Parlament entschied im März. Der Rat wartete anschließend bis zum 2. Juli – und erklärt nun, wenige Tage vor der Sommerpause herrsche höchste Dringlichkeit.
Der angebliche Notfall ist damit zu einem erheblichen Teil selbst geschaffen. Erst machte sich Europa von den Meldungen der Plattformen abhängig. Dann ließ der Rat die Verhandlungen über eine eingeschränkte Lösung scheitern. Anschließend wartete er bis unmittelbar vor der Sommerpause. Nun soll genau diese Zeitnot ein Schnellverfahren rechtfertigen.
„Alles ist wie vorhergesehen passiert“
Martin Sonneborn rügte diesen Vorgang am Montag bei der Eröffnung der Plenarsitzung dazu geht ein Video auf X viral.
Das Dringlichkeitsverfahren nach Artikel 170 der Geschäftsordnung setze unvorhergesehene Entwicklungen voraus. Hier sei jedoch alles wie vorhergesehen passiert. Das Ablaufdatum sei bekannt gewesen, die Verhandlungen seien bewusst gescheitert und der Rat habe seinen Standpunkt erst unmittelbar vor der Sommerpause vorgelegt.
Sonneborn verwies außerdem darauf, dass sich das Dossier bereits in der zweiten Lesung befinde und die dafür vorgesehenen Verfahrensregeln Vorrang hätten. Das Parlament sei bereits am Samstag schriftlich auf die rechtlichen Bedenken hingewiesen worden.
Nach exakt 60 Sekunden wurde ihm das Mikrofon abgedreht.
Der Einwand trifft den wunden Punkt des gesamten Verfahrens: Brüssel will eine demokratisch gescheiterte Ausnahmeregelung unter künstlich erzeugtem Zeitdruck wiederbeleben.
Zuerst wurde das digitale Briefgeheimnis auf Messenger ausgeweitet. Dann wurde eine Ausnahme geschaffen, damit amerikanische Konzerne trotzdem weiterscannen durften. Aus einer angeblich vorübergehenden Lösung wurde ein Dauerprovisorium. Nachdem das Parlament die Verlängerung abgelehnt hatte, kehrt derselbe Mechanismus nun über die zweite Lesung und ein Eilverfahren zurück.
Der Kinderschutz dient dabei als moralisch unangreifbares Etikett.
Doch hinter diesem Etikett wird eine technische Infrastruktur erhalten, die private Kommunikation automatisiert durchsuchen, Inhalte bewerten, Nutzer verdächtigen und Meldungen an Behörden weiterleiten kann.
Ist diese Infrastruktur einmal vorhanden, entscheidet über ihre Grenzen nicht mehr die Technik, sondern die Politik.

Kommentare
Lädt Kommentare...