Mit COM(2025) 740 legt die EU-Kommission ihren zweiten Bericht zur Umsetzung der
Verordnung (EU) 2021/1232 vor. Diese Verordnung erlaubt es bestimmten Online-Diensten
(z. B. Messengern und E-Mail-Anbietern), freiwillig Technologien einzusetzen, um
Online-Kindesmissbrauch (Child Sexual Abuse, CSA) aufzuspüren – obwohl das eigentlich
mit der ePrivacy-Richtlinie kollidiert.
Der Bericht präsentiert diese Praxis als wichtigen Baustein im Kampf gegen Kindesmissbrauch.
Gleichzeitig zeigt er aber auch erhebliche Datenlücken und lässt viele kritische Fragen
zu Grundrechten, Transparenz und Wirksamkeit offen.
1. Worum geht es bei der Verordnung?
Die Verordnung (EU) 2021/1232 ist eine befristete Ausnahmeregelung
zur ePrivacy-Richtlinie. Sie erlaubt es Anbietern sogenannter
„number-independent interpersonal communications services“ (z. B. Messenger,
Webmail, einige soziale Netzwerke), Inhalte und Metadaten zu scannen, um:
- bekanntes kinderpornografisches Material (CSAM) zu erkennen,
- neue Missbrauchsinhalte zu identifizieren,
- Grooming-Versuche (sexuelle Anbahnung von Kindern) aufzuspüren.
Formal bleibt der Einsatz der Technologien freiwillig. Praktisch entsteht aber
ein erheblicher politischer und öffentlicher Druck auf Anbieter, solche Systeme
einzusetzen – mit Auswirkungen auf die Vertraulichkeit privater Kommunikation.
2. Was behauptet die Kommission in ihrem Bericht?
2.1 Datenquellen und Anbieter
Der Bericht wertet vor allem Transparenzberichte von fünf großen Unternehmen aus:
Google, LinkedIn, Meta, Microsoft und Yubo. Sie melden:
- umfangreiche Verarbeitung von Bildern, Videos und anderen Inhalten,
- Auswertung von Konto- und Verbindungsdaten (z. B. IP-Adresse, Nutzer-ID),
- Weitergabe von verdächtigen Fällen an das US-Zentrum NCMEC und andere Stellen.
Laut Kommission wurden dadurch Millionen CSAM-Inhalte erkannt und Tausende Kinder
identifiziert. Konkrete Zahlen werden genannt, sind aber nicht immer vergleichbar,
weil die Anbieter unterschiedlich zählen und filtern.
2.2 Fehlerquoten und Beschwerdemöglichkeiten
Der Bericht hebt hervor, dass die Unternehmen interne Beschwerdemechanismen
eingerichtet haben. Nutzerinnen und Nutzer können Einspruch einlegen, wenn:
- Konten gesperrt,
- Inhalte entfernt oder
- Dienste eingeschränkt
werden. Ein Teil dieser Maßnahmen wird nach Prüfung wieder zurückgenommen – das
sind faktisch die bestätigten Fehlalarme. Die gemeldeten Fehlerquoten liegen
nach Darstellung der Unternehmen meist unter 1 % bei Hash-Matching von bekanntem
Material, aber deutlich höher bei KI-gestützter Erkennung von Grooming.
Wichtig: Der Bericht übernimmt diese Angaben weitgehend aus den
Unternehmensberichten. Eine unabhängige Überprüfung der Fehlerquoten findet nicht statt.
2.3 Mitgliedstaaten: viele Zahlen, wenig Klarheit
Die Mitgliedstaaten müssen der Kommission jedes Jahr u. a. melden:
- die Zahl der eingehenden Meldungen zu Online-Kindesmissbrauch,
- die Zahl der identifizierten Kinder,
- die Zahl der verurteilten Täter.
Laut Bericht gibt es hier große Probleme:
- teilweise fehlen Daten komplett oder für einzelne Jahre,
- Definitionen unterscheiden sich (z. B. Online vs. Offline),
- einige Staaten können Meldungen von NCMEC nicht sauber von eigenen Meldungen trennen.
Die Kommission räumt selbst ein, dass sich die tatsächliche Wirkung der Verordnung
auf Basis dieser Statistiken nicht präzise bewerten lässt.
2.4 Technische Entwicklung laut Bericht
Der Bericht beschreibt vor allem drei Technikstränge:
- Hash-Matching für bereits bekanntes CSAM (z. B. PhotoDNA, CSAI Match),
- KI-basierte Klassifikation für neue Inhalte,
- Textanalyse für Grooming-Erkennung.
Generative KI taucht in der Darstellung vor allem als zusätzliche Bedrohung auf:
Sie erleichtert die Herstellung und Manipulation von Missbrauchsbildern und
-texten. Wie genau solche KI-generierten Inhalte rechtlich und technisch
behandelt werden sollen, bleibt allerdings unklar.
3. Kritische Punkte, die der Bericht nur begrenzt adressiert
3.1 „Freiwillig“ vs. faktischer Druck
Offiziell setzt die Verordnung auf freiwillige Maßnahmen der Anbieter. In der
Realität stehen große Plattformen unter starkem öffentlichen und politischen
Druck, „etwas zu tun“. Die Grenze zwischen freiwilliger Maßnahme und de facto
erwarteter Überwachung ist damit unscharf.
3.2 Grundrechte und Massenüberwachung
Die Kommission betont, dass die Maßnahmen notwendig und verhältnismäßig seien.
Kritikerinnen und Kritiker warnen dagegen seit Jahren vor einem Dammbruch:
das flächendeckende Scannen privater Kommunikation – auch in Ende-zu-Ende
verschlüsselten Diensten – komme einer Form von Massenüberwachung nahe.
Der Bericht greift diese Kritik nur am Rande auf. Er bleibt in weiten Teilen
bei der Perspektive der Behörden und Anbieter und liefert kaum Argumente aus
Sicht von Datenschutzorganisationen oder unabhängigen Fachleuten.
3.3 Datenqualität und Interessenkonflikte
Viele der im Bericht genannten „Erfolgszahlen“ stammen von denselben
Unternehmen, die die Scantechnologien einsetzen und daran zum Teil auch
wirtschaftlich interessiert sind (z. B. durch eigene Hash- oder KI-Lösungen).
Eine systematische, unabhängige Evaluation – etwa durch Forschungsprojekte
oder Datenschutzaufsichtsbehörden – wird nicht präsentiert. Das macht es
schwierig zu beurteilen, ob die Maßnahmen im Verhältnis zu den Grundrechtseingriffen
wirklich effektiv sind.
3.4 Rolle von NCMEC und Drittstaaten
Viele Meldungen laufen weiterhin über das US-Zentrum NCMEC. Das wirft
zusätzliche Datenschutzfragen auf:
- Wie transparent ist die Verarbeitung bei NCMEC?
- Welche Rechte haben betroffene Personen dort faktisch?
- Wie werden Fehler (z. B. fälschlich gemeldete Inhalte) korrigiert?
Der Bericht streift diese Fragen, geht aber nicht tief darauf ein.
4. Einordnung in die aktuelle EU-Debatte („Chatkontrolle“)
Parallel zum Bericht COM(2025) 740 verhandeln EU-Institutionen über eine neue,
dauerhafte CSA-Verordnung. In der Öffentlichkeit ist dabei häufig von
„Chatkontrolle“ die Rede. Kritisiert wird insbesondere der Plan, auch
verschlüsselte Kommunikation mit KI und Client-Side-Scanning zu durchsuchen.
Mehrere Regierungen, Datenschutzbehörden, Messenger-Dienste und
Bürgerrechtsorganisationen haben sich gegen verpflichtendes Scannen privater
Chats ausgesprochen. Sie warnen vor:
- Schwächung von Ende-zu-Ende-Verschlüsselung,
- Missbrauchsmöglichkeiten (z. B. für andere Zwecke als CSA-Bekämpfung),
- einem gefährlichen Präzedenzfall für staatliche Überwachung weltweit.
Der Bericht COM(2025) 740 blendet diesen politischen Konflikt weitgehend aus.
Er ist als Umsetzungsbericht konzipiert und erzählt vor allem die Geschichte,
dass die bestehende Ausnahmeregelung ein wichtiges Instrument sei und
„ohne Unterbrechung“ in einen neuen Rechtsrahmen überführt werden solle.
5. Was man aus dem Bericht mitnehmen kann
-
Die Verordnung (EU) 2021/1232 hat den freiwilligen Einsatz von
Erkennungstechnologien rechtlich abgesichert – dadurch wurden tatsächlich
große Mengen von Missbrauchsmaterial entdeckt und gemeldet. -
Gleichzeitig sind die vorhandenen Zahlen lückenhaft, kaum standardisiert
und stammen überwiegend von den beteiligten Akteuren selbst. -
Zentrale Fragen zum Verhältnis von Kinderschutz, Verschlüsselung und
Überwachung privater Kommunikation bleiben unbeantwortet oder werden nur
aus Sicht der Kommission und der Anbieter beleuchtet. -
Der Bericht ist damit eher ein Baustein in der politischen Argumentation
der Kommission für einen neuen CSA-Rechtsrahmen als eine neutrale,
unabhängige Wirkungsanalyse.
Wer sich eine eigene Meinung bilden möchte, sollte den Bericht der Kommission
daher eher als Eigenbilanz der EU-Exekutive lesen – und ihn
mit Stellungnahmen von Datenschutzbehörden, Bürgerrechtsgruppen,
technischen Expertinnen und Kinderrechtsorganisationen abgleichen.
Dokument: Bericht der Europäischen Kommission zur Umsetzung der
Verordnung (EU) 2021/1232, COM(2025) 740.