Es war keine Sternstunde des deutschen Parlaments: Obwohl die Chatkontrolle-Abstimmung im Rat der EU längst von der Tagesordnung genommen worden war, musste sich der Bundestag heute mit einem Antrag der AfD befassen. Die Partei beantragte darin (pdf), dass die Bundesregierung „bei der bevorstehenden Abstimmung“ über die Chatkontrolle „mit Nein“ stimmen solle. Doch die Abstimmung ist auf Dezember vertagt.

Durch die Tatsache, dass also gar keine Abstimmung akut bevorsteht, war der AfD der Spott der Redner aus dem anderen Parteien für den Antrag sicher. Konrad Körner von der CSU nannte ihn einen bloßen „Schaufensterantrag“. Es stehe nicht nur keine Abstimmung an, es gäbe ja nicht mal einen neuen Entwurf, über den man streiten könne.

Mit dem Begriff Chatkontrolle ist ein EU-Vorhaben gemeint, dass die Anbieter von Messaging- und anderen Kommunikationsdiensten verpflichten soll, in den Nachrichten der Nutzer nach Missbrauchsfotos und -videos (CSAM) zu scannen. Dagegen hat sich eine ganze Phalanx an Kritikern ausgesprochen.

Die Fraktionen des Deutschen Bundestages hatten sich letzte Woche auf Antrag von Grünen und Linken schon allesamt gegen den dänischen Vorschlag zur Chatkontrolle ausgesprochen. Genauer gesagt gegen eine „anlasslose Chatkontrolle“, wie die Regierungsparteien auch diesmal nicht müde wurden zu spezifizieren. Jeanne Dillschneider von den Grünen pochte in ihrem heutigen Statement daher auf eine inhaltliche Klärung. Man warte bisher „vergeblich“ auf eine klare Ablehnung durch das Bundesinnenministerium (BMI) und auch auf eine Klärung, was mit einer „anlassbezogenen“ Chatkontrolle technisch gemeint sein könnte.

Das wollte auch Sonja Lemke (Linke) wissen und wies darauf hin, dass die Bundesregierung in ihrem Formulierungen „jedesmal ein ‚anlasslos‘“ einfüge. Dabei bliebe bewußt offen „was ein Anlass sein kann“ und ob technisch auch das Client-Side-Scanning abgelehnt werde.

Nur nicht „anlasslos“

Die Aussagen der drei Vertreter der Regierungsparteien, die in der kurzen Debatte sprachen, brachten wenige neue Erkenntnisse, aber immerhin ein paar deutliche Worte. Zuletzt war von der dänischen Regierung eine verpflichtende Chatkontrolle und Client-Side-Scanning befürwortet worden.

Katja Strauss-Köster von der CDU betonte, dass erfreulich viele Dienste-Anbieter freiwillig Missbrauchsmaterial aufdecken und an die Behörden melden würden. Aber diese freiwilligen Maßnahmen laufen im April 2026 aus, daher drohe „eine gefährliche Lücke“, wenn man nun nicht handele. Sie wolle eine „solide rechtliche Grundlage“, um den „Status Quo“ zu sichern, also das dauerhafte freiwillige Scannen. Eine solche EU-Verordnung sei anzustreben.

Verpflichtende Maßnahme hingegen solle es „nur im Einzelfall“ geben, so Strauss-Köster. „Ohne konkreten Verdacht“ dürfe private Kommunikation „nicht eingesehen werden“. Sie sagte außerdem, dass „Ende-zu-Ende-Verschlüsselung zentral für unsere Sicherheit“ sei, daher dürfe sie „nicht geschwächt werden“.

Da gab es Applaus aus der CDU/CSU-Fraktion. Doch Strauss-Köster war noch nicht ganz fertig mit ihren Ausführungen: Denn „gleichzeitig dürfen wir verschlüsselte Kommunikation nicht völlig ausnehmen“, fuhr sie fort. Man müsse das „Dunkelfeld“ in den Blick nehmen können. Wie dieser Spagat technisch zu meistern wäre, ließ sie allerdings offen.

Der dänische Vorschlag sei eine Verbesserung gewesen. Es sei dennoch richtig, „dass die Bundesregierung dem nicht zugestimmt hat“. Sie sei für „starke Garantien für Datenschutz und Privatsphäre“, das hätte auch das europäische Parlament vorgegeben. Insgesamt war die kurze Rede Strauss-Kösters eher ein Plädoyer für das freiwillige Scannen.

Carolin Wagner von der SPD betonte, dass im deutschen Parlament Einigkeit bestanden habe: Eine „anlasslose Überwachung privater Inhalte“ sei bereits abgelehnt worden. Es solle auch „keinen Zwang zum Client-Side-Scanning und keinen Zwang in der Aufweichung von Ende-zu-Ende-Verschlüsselung“ geben.

Da war es wieder, das Wörtchen „anlasslos“. Dennoch positionierte sich Wagner am deutlichsten gegen die verschiedenen vorstellbaren technischen Optionen.

Konrad Körner (CSU) war der dritte und letzte der Regierungsparteivertreter und betonte pflichtschuldig, man verteidige die Grundrechte und wolle „keine anlasslose Chatkontrolle“. Man setze sich hingegen für „anlassbezogene Maßnahmen“ ein. Dieser Begriff sei nicht in einer „aufgebauschten Debatte“ zu skandalisieren, schließlich wolle der Bürger, dass sowohl seine Chats als auch seine Kinder sicher seien. Es gehe dabei nämlich um „Ermittlungsbefugnisse“, wenn es einen „Anlass oder Verdacht“ gäbe, dass jemand solches strafbare Material verschicke.

Es gehe hier um „wichtige technische Details“, so Körner. Diese Details würden darüber entscheiden, ob „wir mit einem Gesetz eine Büchse der Pandora öffnen“ könnten. „Glauben Sie mir“, sagte der Abgeordnete, „auch wir haben da große Bedenken“. Denn mit Blick zur AfD sagte Körner: „Wenn Sie an der Macht wären, würde jede inkorrekte Äußerung in der Stammtischgruppe zum Hassverbrechen stilisiert, oder wenn die anderen reden, würde jeder depperte Genderstern noch zum Vaterlandsverrat.“

Das Niveau der Debatte hatte er damit wohl nicht erhöht, aber doch klargestellt, was die CDU/CSU-Fraktion unter „anlassbezogen“ versteht.

Der Schutz von Kindern

Die Abgeordneten betonten, dass nicht vergessen werden dürfe, dass es in der EU-Verordnung um den Schutz von Kindern gehe. Doch der Deutsche Kinderschutzbund und andere Kinderschützer stellten sich mehrfach und deutlich gegen die EU-Pläne einer Chatkontrolle.

Lemke von den Linken beklagte, dass immer wieder „sexuelle Gewalt an Kinder vorgeschoben“ werde. Es gäbe doch zahlreiche Maßnahmen, die man sofort dagegen ergreifen könne, etwa in den Ausstattungen von Jugendämtern, Schulen, Kitas und in der Jugendhilfe, bei Erziehern und Sozialarbeitern. „Keinem Kind ist durch Chatkontrolle geholfen“, betonte sie.

Online-Plattformen tun nicht genug, um Minderjährige vor Risiken im Netz zu schützen, finden die Abgeordneten aus dem Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) im EU-Parlament. Am gestrigen Donnerstag haben sie auf 26 Seiten Forderungen nach Verschärfungen und teils neuen Maßnahmen vorgelegt. Die Themen reichen von Videospielen über süchtig machende Designs und KI bis zum Umgang von Plattformen mit minderjährigen Influencern.

Eine der brisantesten Forderungen in dem Papier ist ein EU-weites einheitliches Mindestalter von 16 Jahren für die Nutzung sozialer Netzwerke, Video-Plattformen und sogenannter “AI Companions” (KI Begleiter). Mit Zustimmung der Eltern könnte die Altersgrenze demnach auf 13 Jahre sinken.

Australien hat sich auf eine solche Altersgrenze bereits geeinigt, die Umsetzung ist für Dezember geplant. Umsetzbar ist eine solche Grenze in der Regel nur durch strenge Alterskontrollen. Dafür haben sich etwa die Digitalminister der EU-Staaten kürzlich ausgesprochen. Unter anderem EDRi, der Dachverband von Organisationen für digitale Freiheitsrechte, lehnt diesen Ansatz allerdings ab.

Hohe Hürden für Alterskontrollen

Bereits heute ist die Nutzung von Instagram und TikTok erst ab 13 Jahren erlaubt, doch es gibt derzeit keine strengen Kontrollen des Mindestalters. Für eine feste und pauschale Altersschranke müsste wohl ein neues Gesetz geschaffen werden, denn das Gesetz über digitale Dienste (DSA) sieht Altersbegrenzungen nur als eine von mehreren Maßnahmen vor, die Dienste ergreifen können, um Risiken für Nutzende zu minimieren. Im Rahmen der DSA-Umsetzung diskutiert die EU-Kommission gerade, in welchen Fällen welche Form von Alterskontrollen angemessen sind.

Die Parlamentarier sprechen sich in ihrem Papier dafür aus, Alterskontrollen möglichst einfach, sicher und „datenschutzfreundlich“ zu gestalten. Sie sind der Ansicht, dass etwa die geplante digitale Brieftasche (EUDI-Wallet) diese Ziele erfüllen könnte. Ausdrücklich befürworten sie die derzeit laufende Entwicklung einer App zur Altersüberprüfung im Auftrag der EU-Kommission, deren Funktion später in der EUDI-Wallet aufgehen soll. Sie empfehlen, dafür sogenannte “Zero-Knowledge-Proof”-Protokolle zu nutzen. Online-Dienste sollen dadurch nur eine Ja/Nein-Antwort erhalten, also erfahren, ob eine Person alt genug ist, ohne sie identifizieren zu können.

Wie auch andere Befürworter solcher Maßnahmen blendet der Ausschuss aus, dass sich Alterskontrollen leicht umgehen lassen und zahlreiche neue Probleme schaffen, etwa mit Blick auf Teilhabe und Overblocking. Die Abgeordneten fordern zumindest, dass alle Maßnahmen im Zusammenhang mit Alterskontrollen „gründlich auf ihre Auswirkungen auf die Grundrechte geprüft werden, um die Verankerung von Überwachungspraktiken zu vermeiden“. Zudem sollten Regelungen nur dann geschaffen werden, „wenn sie unbedingt notwendig und verhältnismäßig sind“.

Weitreichende Verbote zum Schutz von Minderjährigen

Weiter betont der Ausschuss in seinem Papier, dass Alterskontrollen kein Wundermittel („silver bullet“) seien. Sie entbinden demnach Plattformen nicht von der Verantwortung, ihre Produkte von Beginn an sicher zu gestalten („safe by design“). Die Abgeordneten fordern deshalb, dass Designelemente mit dem „größten Suchtpotenzial“ für Minderjährige gänzlich abgestellt werden sollen. Dazu gehören Empfehlungsalgorithmen, die basierend auf dem Verhalten der Nutzenden weitere Inhalte vorschlagen – und damit eine immense Sogwirkung entfalten.

Ebenso soll das „Profiling“ von Minderjährigen verboten werden, also die Erstellung von Profilen der Nutzenden mithilfe ihrer Daten, die sich ebenfalls für die Empfehlung von Inhalten und für Werbung nutzen lassen. In Online-Spielen, auf die Minderjährige Zugriff haben, sollen „Glücksspiel-Mechanismen“ wie Lootboxen verboten werden. Das sind virtuelle Produkte, deren Inhalt man erst nach dem Öffnen sieht.

Teils lassen sich solche Missstände bereits auf Grundlage des DSA bearbeiten, allerdings lediglich von Fall zu Fall, je nach Risiko eines betroffenen Dienstes. Die Forderungen des Ausschusses nach grundsätzlichen Verboten gehen darüber hinaus. Ein Gelegenheitsfenster für derart strengere Gesetze wäre der geplante Digital Fairness Act der Europäischen Union, den der Ausschuss in seinem Papier mehrfach erwähnt. Aktuell läuft noch eine öffentliche Konsultation zu dem Vorhaben, das für das letzte Quartal 2026 geplant ist.

Plattform-Manager sollen persönlich haften

Der Ausschuss fordert die EU-Kommission weiter dazu auf, den DSA und die KI-Verordnung (AI Act) konsequent durchzusetzen. Die Kommission solle es demnach in Erwägung ziehen, bei ernsten und dauerhaften Regelverstößen Führungskräfte eines Konzerns persönlich haften zu lassen. Ähnlich handhabt es der britische Online Safety Act.

Die Abgeordneten wollen zudem, dass Plattformen aufhören, minderjährige Influencer („Kidfluencer“) zu unterstützen. Ihre Inhalte sollen demnach nicht mehr monetarisiert werden, und Kinder sollten auch keine anderen finanziellen oder materiellen Anreize von Plattformen erhalten.  Nicht davon berührt wären wohl Werbe-Deals mit Privatunternehmen, eine der größten Einnahmequellen von Influencern. Oftmals werden Kidfluencer von ihren Eltern begleitet und gemanagt; das Publikum wiederum ist oftmals selbst minderjährig.

Die Entschließung der Vorschläge hat der Ausschuss mit breiter Mehrheit (32 von 46 Stimmen) angenommen. Es gab fünf Stimmen dagegen und neun Enthaltungen. Ende November sollen dann das Plenum über den Vorschlag abstimmen. Die Diskussion der Vorschläge aus der Sitzung vom 24. September 2025 kann man sich hier als Video ansehen.

Die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) hat ihrem Verzeichnis bekannter, aktiver Exploits (Known Exploited Vulnerabilities Catalog) eine bereits seit Längerem bekannte Sicherheitslücke in Adobes Content-Management-Plattform Experience Manager (AEM) hinzugefügt.

Das CISA-Team habe beobachtet, dass die betreffende Lücke CVE-2025-54253 mit dem CVSS-Höchstwert 10.0 (kritisch) Ziel von Angriffen sei, heißt es in einem Sicherheitshinweis der Behörde.

Nähere Details etwa hinsichtlich spezifischer Angreifergruppen, Zielen oder Umfang der Attacken sind dem Hinweis nicht zu entnehmen. Bekannt ist aber, dass Angreifer Systeme durch das Ausführen beliebigen Schadcodes vollständig kompromittieren könnten (arbitrary code execution, arbitrary file system read).

Handlungsbedarf nur bei versäumtem August-Update

Adobe hat die Sicherheitslücke bereits Anfang August dieses Jahres im Zuge des Notfallupdates Experience Manager Forms on JEE 6.5.0-0108 geschlossen. Verwundbar sind beziehungsweise waren Versionen bis einschließlich 6.5.23.0.

Admins, die das Update damals eingespielt haben, müssen nicht aktiv werden, da die betreffenden AEM-Installationen gegen die Exploits abgesichert sind. Alle anderen können dem zugehörigen Adobe Security Bulletin APSB25-82 nähere Details samt Update-Anleitung entnehmen.

Dem Notfallupdate von August war eine zähe Kommunikation zwischen Schwachstellen-Entdeckern und Adobe vorausgegangen, bis die bereits seit April bekannte Lücke letztlich gepatcht wurde. Zu diesem Zeitpunkt war laut dem Softwarehersteller bereits Exploit-Code in Umlauf. Ebenfalls bedenklich: Das Security Bulletin wurde bislang noch nicht bezüglich der aktiven Exploits aktualisiert.

(ovw)