Die EU verletzt ihre eigene Grundrechte-Charta. Und sie weiß natürlich, dass sie das tut – obwohl man sich bei einem so komplexen Organismus schon manchmal fragen kann, ob er wirklich weiß und wissen kann, was er tut. Denn es scheint sich um so eine Art menschlicher KI zu handeln. So lesen sich zumindest die EU-Verordnungs- und Gesetzestexte in ihrer pompösen Unbelebtheit.

Die EU, oder was in ihr webt und anwest, hat sich selbst – als Gesetzgeber und Exekutive – eine Ausnahme von ihrer Grundrechte-Charta genehmigt. Konkret wird der Artikel 7 der Charta, betreffend die Achtung des Privat- und Familienlebens durch die sogenannte „Chatkontrolle 1.0“ aufgehoben. Der Artikel lautet: „Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation.“ Oder er lautete so, als er noch galt.

Wie immer geschah der Wandel, die Transformation von „EU-Recht“ in ein amorphes Nicht-mehr-Recht, auf leisen Socken. 2022 gab es eine nichtbindende Erlaubnis an private Anbieter, Online-Durchsuchungen von E-Mails und anderen Nachrichten – also eine Art Spionage gegen die Bürger – im Dienste der Behörden durchzuführen. Das wurde als „Chatkontrolle 1.0“ bekannt.

Damit wurde zugleich die EU-eigene Datenschutzrichtlinie (auch ePrivacy-Richtlinie, 2002/58/EG) teilweise aufgehoben. Die Ausnahmeregelung (COM/2022/209 final) beschlossen EU-Parlament und Kommission in großer Eintracht. Es sollte schließlich um den Kampf gegen die Verbreitung kinderpornographischer Inhalte gehen, und da zählten offenbar weder die zuvor zugestandenen Grundrechte noch der Datenschutz. Eigentlich verbot auch die Datenschutzrichtlinie von 2002 das Abhören von Telefongesprächen wie auch das Abfangen von E-Mails strikt. Aber der einst pompös beschlossene EU-Datenschutz musste weichen, und den Artikel der EU-Grundrechtecharta warf man gleich mit in den Müll. Die Ausnahme bedeutete nicht nur eine Einschränkung für den EU-Datenschutz, sondern auch für das angesprochene EU-Grundrecht auf Privatleben – inklusive einer privat bleibenden Kommunikation.

Die Merz-Regierung ist so unentschlossen wie immer

Man war sich aber des provisorischen Charakters der „Ausnahmeregelung“ bewusst, und so begrenzte man sie zeitlich bis 2024. Bis dahin wollte man etwas Solideres vorgelegt haben. Aber das misslang. Und so geistert nun das Wort „Regelungslücke“ durch die EU-Beratungen zur „Chatkontrolle 2.0“, die derzeit noch umfassender als ihr Vorgänger geplant wird. Seit Juli haben sich die streng von der Öffentlichkeit abgeschirmten Beratungen intensiviert, nachdem die Dänen turnusgemäß die EU-Präsidentschaft übernommen hatten. Zugleich hat sich eine Mehrheit im Rat herauskristallisiert. Vor allem die deutsche Bundesregierung ist gerade dabei umzufallen, sie hat ihr früheres Nein in ein „Unentschlossen“ umgewandelt.

Das ist eigentlich ziemlich exemplarisch für das Bild dieser Merz-Regierung aus Schwarz und Rot. Die kann sich allgemein und in vielen Fragen nicht so recht entscheiden. Migrationswende oder NGO-Nebenstaat weiterfinanzieren? Man macht eben beides. Bürgergeld reformieren oder Sozialstaat erhalten? Auch in dieser Frage scheint man nicht zu irgendeiner Entscheidung zu kommen. Das Geraufe um diese Themen wird gerade öffentlich ausgetragen. Aber wer in der Bundesregierung ist eigentlich für Chatkontrolle und wer dagegen? Auf einer aktuellen Sitzung des Digitalausschusses wurde deutlich, dass das CSU-Innenministerium (Alexander Dobrindt) eher zu den Treibern gehört, auch wenn man natürlich nie und nimmer die Verschlüsselung digitaler Nachrichten aufbrechen will. Das SPD-geführte Justizressort (Stefanie Hubig) scheint eher Einwände zu haben. Aber was kommt dabei heraus? Ein Unentschieden, das eventuell nichts an einem zustimmenden Beschluss des Rates ändert.

Der digitalpolitische Sprecher der AfD-Bundestagsfraktion, Ruben Rupp, fordert Digitalminister Karsten Wildberger (CDU) dazu auf, sich gegen die Neuregelung zu stellen. Der Vorschlag der Ratspräsidentschaft richte sich nur vordergründig gegen die Verbreitung kinderpornographischen Materials. „Doch im Kern zielt diese unverhältnismäßige Verordnung auf die umfassende Kontrolle von Mails und Messengerdiensten sowie gespeicherten Dateien auf den Endgeräten von Millionen unbescholtener Bürger.“ Es liege „an Deutschland, dass dieser verfassungswidrige Weg einer Neuauflage des Zensurgedankens im Internet nicht beschritten wird“.

Regierungen und Abgeordnete werden ausgenommen

Regierungen wie die dänische oder – sehr stark – die französische drängen auf die Einführung des sogenannten Client-Side-Scanning (CSS), also der Online-Durchsuchung privater E-Mails und Nachrichten, noch bevor diese zum Versenden verschlüsselt werden. Auf Deutsch hieße das Monstrum: kundenseitige Durchsuchung („KSD“). Dass dieses Schlupfloch auch nur erwogen wird, spricht jeder Logik Hohn, wie auch der Juristische Dienst des Rates immer wieder eingewandt hat: Denn auch die Durchsuchung eines privaten Endgeräts stellt natürlich einen Bruch des Datenschutzes und der Grundrechtecharta dar, eigentlich sogar einen schwereren Bruch, als es das Knacken der Ende-zu-Ende-Verschlüsselung wäre. Man greift direkt auf private Geräte zu.

Derweil sollen Regierungen, Abgeordnete und das Militär von dem Eingriff in die Privatsphäre ausgenommen sein. Aber eine Verabschiedung durch den Rat rückt näher – so nahe, dass auch die Kritiker dieses legalisierten EU-Lauschangriffs auf alle Bürger die Lautstärke hochregeln. An diesem Freitag (12. September 2025) findet wiederum eine nicht-öffentliche Geheimsitzung im EU-Kosmos statt, über deren Ergebnisse man vermutlich erst sehr viel später etwas erfahren wird. Dann, wenn es schon fast zu spät sein wird, etwas dagegen zu unternehmen.

Nun protestiert etwa der datenschutzfreundliche E-Mail-Anbieter Tuta. Der neue Vorschlag sei noch schlimmer als ältere Vorschläge: „Wenn dieses Gesetz verabschiedet wird, können die Strafverfolgungsbehörden in ganz Europa die Anbieter von Online-Kommunikation dazu zwingen, mit unzuverlässiger KI nach ‚unbekannten‘ Inhalten zu suchen, nicht nur nach bekannten illegalen Inhalten. Dies birgt das Risiko, dass Ihre intimsten privaten Gespräche und Fotos offengelegt werden.“

500 Forscher: Unannehmbar viele Falsch-Positive

Daneben haben mehr als 500 Wissenschaftler und Forscher einen Offenen Brief an die Mitglieder von Rat und Parlament geschrieben (die Kommission hat man offenbar nicht als kritischen Faktor im Sinn). Die Forscher betonen darin vor allem die technische Unmöglichkeit der Sache. Denn selbst die modernsten („state-of-the-art“) KI-Programme würden „unannehmbar hohe Falsch-Positiv- und Falsch-Negativ-Raten“ erzeugen.

Mit anderen Worten: „Es droht eine Flut von Falschmeldungen an Behörden, die unschuldige Familien, Jugendliche oder sogar Ärzte verdächtigen“, wie der Kritiker des Vorhabens, der ehemalige EU-Abgeordnete Patrick Breyer, schreibt. Laut BKA sei 2024 „jeder zweite im Rahmen der bisher freiwilligen Chatkontrolle gemeldete Chat strafrechtlich irrelevant“ gewesen. Die Erkennung von kinder- und jugendpornographischen Darstellungen sei „von Natur aus kontextabhängig“ und könne daher „technisch nicht mit Sicherheit definiert werden“. Das sei ein Unterschied zu Anti-Viren-Programmen.

Soweit zu den Falsch-Positiven. Die Falsch-Negativen, von denen die 500+ Forscher sprechen, sind die wirklichen Täter, die von der KI aber auch nicht sicher erkannt, sondern vielfach übersehen werden. Alle bekannten KI-Algorithmen sind demnach „grundsätzlich anfällig für Umgehung“. Auch versendete Internetadressen (URLs) könnten durch Verschleierung und Weiterleitungen problemlos unter dem Radar segeln.

Es droht der „function creep“

Der Hauptkritikpunkt der Forscher ist aber dieser: „Der neue Vorschlag wird, ähnlich wie seine Vorgänger, nie dagewesene Möglichkeiten zur Überwachung, Kontrolle und Zensur schaffen und birgt die Gefahr einer schleichenden Ausweitung der Funktionen und des Missbrauchs durch weniger demokratische Regimes.“ Mit dem zuletzt Gesagten ist hier eigentlich eine denkbare Nachahmung der EU-Regelung durch undemokratische Staaten gemeint. Aber wer sagt eigentlich, dass die EU in sich „demokratisch“ genug ist, um nicht unter diese Missbrauchsbefürchtung zu fallen?

Auch die Forscher haben wenig Zutrauen, dass sich die EU dauerhaft auf die KI-gestützte Durchsuchung von Bilddateien und URLs beschränken wird, wie es ein aktueller Vorschlag vorsehe. Denn auch diese Einschränkung sei mit einem Ablaufdatum versehen. Die vorgeschlagene Verringerung des Geltungsbereichs sei daher wohl „nur eine vorübergehende Beschwichtigung“, während das Änderungsprotokoll der vorgeschlagenen Verordnung darauf hindeutet, dass „der Geltungsbereich in Zukunft wieder auf Audio und Text ausgeweitet wird“. Das ist es, was die Forscher als „function creep“ beschreiben: Die einmal geschaffene Möglichkeit zur Durchsuchung von Online-Nachrichten und der damit einhergehende Abbau von Grundrechten kann in nachfolgenden Schritten auf weitere Bereiche ausgeweitet werden.

Man kann dann damit argumentieren, dass die Überwachungsstrukturen schon geschaffen seien und sich angeblich bewährt hätten. Auf Deutsch sprach man in solchen Fällen auch von „Dammbruch“. „Function creep“ ist die sachliche Variante dieses Begriffs. Jedenfalls sind sich die Forscher sicher: Der Ende-zu-Ende-Verschlüsselung (E2EE) wird durch den Vorschlag des Rats kein Gefallen getan. Sie wird geschwächt, ganz gleich ob die Verschlüsselung nun „aufgebrochen“ wird oder die EU-Behörden sich den Zugriff auf die Client- oder die Server-Seite von Online-Nachrichtendiensten und E-Mail-Anbietern sichern.

Entscheidung im Oktober: Wird die Cybersicherheit geschmälert?

Am 14. Oktober will der Rat der EU-Regierungen offiziell entscheiden. Die massenhafte Überwachung privater Nachrichten, das automatische Scannen von Bildern (darunter würden auch Memes fallen) und Einzelvorschläge wie die automatische Erkennung von „Grooming“ (auch dies wohl KI-technisch unmöglich) sind aber noch immer umstritten im Rat, und so gab es bisher noch keine Mehrheit für den dänischen Vorschlag.

Laut der amtierenden Bundesbeauftragten für den Datenschutz und die Informationssicherheit, Prof. Dr. Louisa Specht-Riemenschneider, bietet „die ‚Chatkontrolle‘ kaum Schutz für Kinder, wäre aber Europas Einstieg in eine anlasslose und flächendeckende Überwachung der privaten Kommunikation“. Ähnlich sehen das auch der EU-Datenschutzbeauftragte und der Europäische Datenschutzausschuss (EDSA). Was es alles gibt. Aber nützen diese Dinge am Ende etwas für den Schutz der Bürger?

Darüber hinaus stellte der EU-Abgeordnete Emmanouil Fragkos (EKR) im August der Kommission die sehr berechtigte Frage nach der Kompatibilität des Rats-Vorschlags mit Artikel 7 der Grundrechtecharta. Weiterhin: Wie könne der Kinderschutz durch effektive Maßnahmen sichergestellt werden, ohne die Grundrechte aller Bürger einzuschränken? Und zuletzt: „Wie will die Kommission die negativen Auswirkungen auf die Cybersicherheit und die wirtschaftliche Wettbewerbsfähigkeit verhindern, die durch die Schwächung der Verschlüsselung entstehen?“

Bleibt die Frage, ob und wie die Chatkontrolle 2.0 noch verhindert werden kann. Es hängt am Rat und an der Frage, ob dort eine Mehrheit für den Vorschlag zustandekommt oder nicht. Der E-Mail-Anbieter Tuta schlägt vor, dass Bürger sich bei ihren Regierungen und Abgeordneten melden, um ihr Nicht-Einverständnis mitzuteilen. Es gibt auch eine Online-Petition unter dem Titel „Nein zur Chatkontrolle: Lassen Sie die EU nicht Ihre privaten Nachrichten überwachen!“ mit bisher mehr als 140.000 Unterschriften.