Das EU-Parlament hat mit breiter Mehrheit eine Vorlage der EU-Kommission für die Verlängerung der freiwilligen Chatkontrolle abgelehnt. Die konservative EVP-Fraktion hatte in einem ungewöhnlichen parlamentarischen Verfahren eine erneute Abstimmung über das Thema erzwungen – und ist damit nun gescheitert.

Das ganze Verfahren war umstritten. Die Konservativen im Europa-Parlament hatten nach einem grundrechtsfreundlichen Abstimmungsergebnis eine neuerliche Abstimmung angesetzt und dabei die Regeln des Europaparlaments aufs Äußerste ausgereizt. Zuvor hatte das Parlament am 11. März eine Abkehr von der anlasslosen Massenüberwachung bei der Chatkontrolle 1.0 beschlossen und Maßnahmen nur noch auf Verdacht erlaubt. Daraufhin hatte der Rat der EU die Trilog-Verhandlungen zum Thema sehenden Augen scheitern lassen, wie eingestufte Protokolle, die netzpolitik.org veröffentlicht hat, belegen.

In der heutigen Abstimmung wurden die Änderungsanträge 29 (Ratsposition, eingereicht durch EVP), 34 (Beschränkung auf bekanntes Material) und 36 (Schutz von Ende-zu-Ende-Verschlüsselung) vom Parlament angenommen, der Vorschlag der EU-Kommission scheiterte jedoch deutlich.

Da eine erneute Abstimmung ein sehr seltenes Phänomen ist, ist nun unklar, ob es in dieser Sache zu erneuten Trilog-Verhandlungen zwischen Parlament, Rat und Kommission kommt. Sicher ist in jedem Fall, dass die erste Lesung damit abgeschlossen ist und die freiwillige Chatkontrolle 1.0 Anfang April ausläuft, weil sie ohne gesetzliche Grundlage nicht weitergeführt werden kann.

„Druck, Schmutz und Fake-Behauptungen“

Vor der Abstimmung hatte sich die verantwortliche sozialdemokratische Abgeordnete Birgit Sippel mit deutlichen Worten an das Parlament gewendet. Das Parlament habe vor zwei Wochen mit breiter Mehrheit eine Position abgestimmt, die Verantwortung für Kinder und Grundrechte gleichermaßen annehme.

Mit dieser Position sei das Parlament in die Trilog-Verhandlungen gegangen, wo der Rat sich einer Auseinandersetzung entzogen habe, ja „nicht am Verhandlungstisch angekommen“ sei. Sie kritisierte auch, wie im Vorfeld der Neu-Abstimmung Druck aufgebaut und mit Schmutz und Fake-Behauptungen“ geworfen worden sei.

Im Vorfeld der heutigen Abstimmung hatte sich sogar Bundeskanzler Merz im Bundestag für eine anlasslose Chatkontrolle stark gemacht, der EU-Justizkommissar mahnte in einem Schreiben an die EU-Abgeordneten, das Politico zuerst im Original veröffentlichte, für anlasslose Überwachung zu stimmen.

In einer Pressemitteilung kurz vor der Abstimmung hatte die EVP die Sozialdemokratische Fraktion aufgefordert, für ihren Vorschlag zu stimmen, weil sonst die EU angeblich ihre Fähigkeit zur wirksamen Bekämpfung von Kindesmissbrauch im Internet verlieren würde.

Grüne kritisieren Verfahrenstricks

Markéta Gregorová, die Schattenberichterstatterin der Fraktion der Grünen/EFA kommentierte in einer Pressemitteilung die Neu-Abstimmung kritisch, sie schade der Glaubwürdigkeit des Parlaments. „Die EVP nutzt Verfahrenstricks, um einen Standpunkt wieder aufzugreifen, auf den sich das Parlament bereits geeinigt hatte.“ Nachdem die Gespräche mit dem Rat gescheitert waren, hätte das Dossier von der Tagesordnung gestrichen werden müssen, so Gregorová weiter. Dieser Antrag war aber abgelehnt worden.

„Stattdessen haben die Konservativen es in seiner ursprünglichen Form wieder auf die Tagesordnung gesetzt, um die Änderungsanträge des Parlaments zu umgehen und die wahllose Massenüberwachung im Spiel zu halten.“ Gregorová sieht den Vorgang als „gefährliches Signal“, dass demokratische Entscheidungen rückgängig gemacht werden können, wenn Regierungen einfach lange genug warten.

Vorbote für die permanente Chatkontrolle?

Die Chatkontrolle 1.0 ist eine Übergangsregelung, die seit 2021 in Kraft ist und Anfang April ausläuft. Sie regelt, dass Plattformen und Internet-Anbieter auf freiwilliger Basis entgegen der EU-Privacy-Richtlinie Inhalte und Kommunikation nach Bildern von sogenanntem Kindesmissbrauch (CSAM) scannen dürfen.

Ungleich wichtiger ist die CSA-Verordnung, welche auch die verpflichtende Chatkontrolle 2.0 enthalten könnte, über die seit vier Jahren gestritten wird. Durch ein eingestuftes Ratsprotokoll vom 13. März, das wir im Volltext veröffentlicht haben, wurde deutlich, dass die EU-Mitgliedstaaten Kompromisse bei der temporären freiwilligen Chatkontrolle 1.0 offenbar als eine Art Vorentscheidung für die weitaus wichtigeren Verhandlungen zur CSA-Verordnung und damit für eine permanente Regelung (Chatkontrolle 2.0) sehen.

Knackpunkt bei der CSA-Verordnung ist die verpflichtende Chatkontrolle. Der EU-Kommission möchte, dass dabei auch verschlüsselte Kommunikationen durchleuchtet werden. Das Parlament hat dies bisher abgelehnt und Maßnahmen nur auf Verdacht gefordert. Auch im EU-Rat hat die anlasslose Chatkontrolle bislang keine qualifizierte Mehrheit gefunden. Die drei Institutionen sind derzeit im Trilog und verhandeln über die Verordnung.

Für die Chatkontrolle nach Wunsch der EU-Kommission wäre Technologie namens Client-Side-Scanning nötig, welche vor der Verschlüsselung Inhalte auf dem Handy oder Computer scannt. Wäre diese Technologie einmal eingeführt, ist verschlüsselte Kommunikation wertlos, weil die Inhalte schon vor dieser angeschaut werden könnten. Es wäre das Ende der privaten und vertraulichen Kommunikation. Wir haben zusammengestellt, warum dies für uns alle gefährlich ist.

„Gier nach anlassloser Massenüberwachung war zu groß“

Konstantin Macher vom Verein Digitale Gesellschaft kommentiert die Abstimmung gegenüber netzpolitik.org: „Rat und Konservative haben mit ihren politischen Tricksereien das Scheitern der Verhandlungen zu verantworten. Damit haben sie unabsichtlich die Chatkontrolle-Massenüberwachung beendet. Zielgerichtete Maßnahmen wären möglich gewesen – aber ihre Gier nach anlassloser Massenüberwachung war zu groß.“

Das Ergebnis sei „eine Klatsche“ für die Europäische Kommission. Diese habe die Abgeordneten von Anfang an nicht ernst genommen und ihre gesetzlichen Pflichten zur Evaluation der Ausnahmeregelung nicht erfüllt.

„Mitgliedstaaten zeigten keinerlei Flexibilität“

Die Konservativen (EVP) werfen in einer Pressemitteilung nun den Sozialdemokraten vor, sie seien schuld daran, dass Kinder nun ungeschützt seien. Die Sozialdemokratin Birgit Sippel hingegen schreibt in einer Pressemitteilung, dass die Verhandlungen zwischen den Institutionen zuletzt „aufgrund der mangelnden Flexibilität der Mitgliedstaaten“ gescheitert seien. Das Parlament lasse sich nicht vom Co-Gesetzgeber zum Ja-Sager degradieren. Die Konservativen seien in ihrer Rolle als fügiger Erfüllungsgehilfe des Rates gescheitert.

Für eine vertrauensvolle Zusammenarbeit seien Kompromisse nötig, so Sippel: „Wir waren dazu bereit, die Verhandler von Seiten der Mitgliedstaaten zeigten jedoch keinerlei Flexibilität. Sie sind es, die die Gespräche ohne Ergebnis beendet haben und nun in Kauf nehmen, dass die Interim-Verordnung nicht verlängert wird.“

Aufgrund von mehreren Softwareschwachstellen können Angreifer TP-Link-Router der Archer-Serie komplett kompromittieren. Alle mittlerweile geschlossenen Lücken sind mit dem Bedrohungsgrad „hoch“ eingestuft.

Bislang gibt es keine Hinweise auf laufende Attacken. Der Hersteller rät Besitzern, die verfügbaren Sicherheitspatches zeitnah zu installieren.

Konkret sind die Modelle Archer NX200, NX210, NX500 und NX600 bedroht. In einer Warnmeldung versichern die Entwickler, die Lücken in den Firmwares 1.3.0 Build 260311, 1.3.0 Build 260309, 1.4.0 Build 260311, 1.5.0 Build 260309 und 1.8.0 Build 260311 geschlossen zu haben. Alle vorigen Ausgaben sind den Entwicklern zufolge verwundbar.

Die Gefahren

Am gefährlichsten gilt eine Authentifizierungs-Schwachstelle im HTTP-Server (CVE-2025-15517). An dieser Stelle können Angreifer ohne Anmeldung auf Geräte zugreifen und im schlimmsten Fall eine mit Schadcode präparierte Firmware hochladen und installieren.

Für die Ausnutzung zwei weiterer Schwachstellen (CVE-2026-15518, CVE-2026-15519) benötigen Angreifer Adminrechte. Ist das gegeben, können sie eigene Befehle auf Ebene des Betriebssystems ausführen.

Aufgrund eines hart codierten kryptografischen Schlüssels im Kontext der Gerätekonfiguration können Angreifer Einstellungen verbiegen (CVE-2025-15605).

(des)

Die Bundesregierung möchte in Zukunft erlauben, dass private Luftfahrtunternehmen sensible Pass- und Biometriedaten auslesen und verarbeiten können, um die Fluggastabfertigung am Flughafen digital abzuwickeln. Es wäre das erste Mal, dass solche auf den Ausweisdokumenten gespeicherten biometrische Daten an die Privatwirtschaft gegeben werden. Bislang ist die Verarbeitung der auf dem Chip gespeicherten und verpflichtend erhobenen Daten ausschließlich durch Polizeien sowie durch Pass-, Personalausweis- und Meldebehörden zulässig.

Die Pläne gehen aus einem Referentenentwurf des „Gesetzes zur Ermöglichung der digitalen Fluggastabfertigung“ (Synopse) hervor, welches das Verkehrsministerium am 24. Februar 2026 vorgelegt hat. Schon die Ampel-Regierung hatte ein solches Gesetz im Jahr 2024 geplant, aber dann nicht mehr umgesetzt.

Konkret geht es in dem Gesetz um das biometrische Foto, das auf dem Chip des Ausweisdokumentes gespeichert ist. Dieses soll den Fluglinien beispielsweise beim Einchecken zur Verfügung gestellt werden, damit diese die Fluggäste bei der Abfertigung biometrisch identifizieren können. Passagiere würden beim Check-In fotografiert, biometrisch erfasst und dann über den Pass oder Personalausweis von den Luftfahrtunternehmen identifiziert werden.

Tausch: Sensible Daten gegen eine Minute Zeitersparnis!

Die Bundesregierung verspricht sich davon laut der Gesetzesbegründung „Bürokratierückbau“ und konkret eine zeitliche Einsparung von einer Minute pro Gast beim Einchecken und will so das „Reiseerlebnis des Fluggastes“ verbessern. Nach den Rechnungen der Bundesregierung sollen so die Bürger:innen im Schnitt knapp acht Minuten Wartezeit im Jahr einsparen – sofern sich diese entscheiden, dafür sensible Daten zum Abgleich an Privatunternehmen zu geben. Laut dem Entwurf soll die Maßnahme am Flughafen bei der Einführung freiwillig sein.

Schon die Pläne der Ampel-Regierung zu einem solchen Gesetz hatten Protest hervorgerufen. Der damalige Bundesdatenschutzbeauftragte Ulrich Kelber kritisierte damals, die „zur Erfüllung rein hoheitlicher Aufgaben erhobenen Daten sollen damit für das Angebot optionaler Komfortleistungen nichtöffentlicher Stellen freigegeben werden“. Weiter führte Kelber in seiner Stellungnahme aus:

Dies würde zu einer grundlegenden Verschiebung des Nutzungsregimes der im Chip der amtlichen Ausweisdokumente gespeicherten Daten führen. Die Freigabe würde einen gänzlich neuen Verarbeitungszweck bereits für die Erhebung und Speicherung der Daten auf dem Chip für kommerzielle Zwecke begründen.

Kelber warnte damals auch vor einem Präzedenzfall, der Begehrlichkeiten bei anderen Privatunternehmen wecken könnte. Er nannte den Gesetzentwurf „höchst problematisch“.

Biometrie für Bequemlichkeitsanwendungen

Auch der Chaos Computer Club (CCC) stellte sich damals gegen die Pläne. CCC-Sprecher Matthias Marx kritisierte dazumal, dass die geplante Freigabe der biometrischen Daten absehbare Konsequenzen haben werde: „Wenn Flughafenbetreiber und Airlines diese sensiblen Daten für reine Bequemlichkeitsanwendungen nutzen dürfen, wird es schwierig sein, anderen Branchen den Zugang zu verweigern.“

Dies mindere den Schutz der hochsensiblen biometrischen Daten auf dramatische Weise. Marx weiter: „Es ist ein Hohn, dass die zwangsweise Erhebung und Speicherung der biometrischen Daten stets mit der Abwehr schwerer Verbrechen begründet wurde, und nun diese Gesichtsbilder plötzlich für den bloßen Convenience-Gebrauch von Airlines freigegeben werden sollen.“

Noch bis zum 10. April können zivilgesellschaftliche Organisationen Stellungnahmen zum Gesetz einreichen. Am 29. April soll das Gesetz im Kabinett behandelt werden.