Seit über drei Jahren streiten die EU-Institutionen über eine verpflichtende Chatkontrolle. Die Kommission will Internet-Dienste verpflichten, die Inhalte ihrer Nutzer auf Straftaten zu durchsuchen und diese bei Verdacht an Behörden zu schicken. Das Parlament bezeichnet das als Massenüberwachung und fordert, nur unverschlüsselte Inhalte von Verdächtigen zu scannen.
Die EU-Staaten können sich nicht auf eine gemeinsame Position einigen. Bisher ist jede Präsidentschaft daran gescheitert, eine Einigung im Rat zu organisieren. Mitte September hat die Arbeitsgruppe Strafverfolgung den Gesetzentwurf erneut verhandelt. Wir veröffentlichen ein weiteres Mal das eingestufte Protokoll der Sitzung.
Seit Juli hat Dänemark die Ratspräsidentschaft inne. Die sozialdemokratisch geführte Regierung befürwortet die verpflichtende Chatkontrolle und Client-Side-Scanning. Dänemark will, dass die Justiz- und Innenminister den Gesetzentwurf am 14. Oktober annehmen.
Die vorherige Ratspräsidentschaft hatte vorgeschlagen, die Chatkontrolle freiwillig statt verpflichtend zu machen und verschlüsselte Kommunikation auszunehmen. Dänemark hat diese Abschwächungen wieder rückgängig gemacht.
Dänemark sagt ganz offen: „Es dürfte sehr schwierig sein, neue Ansätze zu finden, die bei den Mitgliedstaaten auf Zustimmung stoßen. Uns gehen die realisierbaren Optionen aus.“ Deshalb legt Dänemark im Prinzip einfach den alten Gesetzentwurf nochmal vor – und hofft auf ein anderes Ergebnis.
In der Arbeitsgruppe war Dänemark damit nicht sofort erfolgreich. Die meisten EU-Staaten „wiederholten im Wesentlichen die bereits bekannten Positionen“. Viele Staaten wollen eine weitreichende Chatkontrolle, eine Sperrminorität der Staaten lehnt das ab.
Eigentlich ist eine Chatkontrolle laut E-Privacy-Richtlinie verboten. Eine vorübergehende Ausnahme erlaubt Anbietern trotzdem, Inhalte freiwillig zu scannen. Diese Ausnahme läuft im April 2026 aus.
Kommission und Ratspräsidentschaft nutzen das als Druckmittel. Dänemark ist „sich des Zeitdrucks sehr bewusst“. Die Ratspräsidentschaft ist „in engem Austausch mit der Kommission und dem Parlament“. Es brauche „deutliche Fortschritte“, damit sich der Rat auf eine gemeinsame Position einigt.
Auch zahlreiche EU-Staaten „betonten die dringende Notwendigkeit, im Lichte der auslaufenden Interims-Verordnung zu einer Einigung zu kommen“. Sowohl Gegner als auch Befürworter der Chatkontrolle fordern eine zeitnahe Einigung.
Zehn Staaten unterstützen den dänischen Vorschlag für eine verpflichtende Chatkontrolle. Darunter sind langjährige Befürworter wie Spanien, Rumänien und Ungarn.
Frankreich war lange skeptisch und wartete „auf eine Entscheidung auf allerhöchster Ebene“. Jetzt ist Paris „im Großen und Ganzen“ einverstanden mit dem Entwurf. Frankreich begrüßt sowohl verpflichtende Chatkontrolle als auch Client-Side-Scanning. „Die Verhältnismäßigkeit sei gewahrt.“
Fünf Staaten lehnen den dänischen Vorschlag ab. Polen unterstützt den Kampf gegen sexuellen Kindesmissbrauch, dafür muss Prävention verstärkt werden. Einer Chatkontrolle kann Warschau „weiterhin nicht zustimmen“, sie stelle „Datenschutz und Privatsphäre“ in Frage.
Die Niederlande und Luxemburg unterstützen ebenfalls das Ziel, sexuellen Kindesmissbrauch besser zu bekämpfen. Doch mit der verpflichtenden Chatkontrolle sind sie „nicht einverstanden“. Auch Tschechien lehnt den Vorschlag ab. Die Chatkontrolle ist nicht verhältnismäßig.
Österreich verweist ebenfalls auf seine „bereits bekannte und unveränderte Position“. Der Nationalrat hat eine Chatkontrolle vor drei Jahren abgelehnt. Die österreichische Bundesregierung ist an diesen Beschluss gebunden.
Andere Staaten positionieren sich nicht eindeutig. Schweden prüft den Vorschlag noch und arbeitet an einer Position. Finnland sieht den Vorschlag „ambivalent“, er enthalte gute und „problematische Bestimmungen“. Die Slowakei prüft ebenfalls weiter, dabei stehen „Cybersicherheit und Grundrechte im Fokus“.
Lettland bewertet „den Text positiv“. Es sei aber noch unklar, „ob dieser auch politische Unterstützung finde“. Grund sei, dass „der Vorschlag über die Sommerpause vermehrt politische Aufmerksamkeit erhalten habe“. Das dürfte an der Kampagne Fight Chat Control liegen, die nicht sehr genau und transparent ist, aber einige Reichweite erreicht.
Das entscheidende Land bleibt Deutschland. Bisher war die Bundesregierung gegen Client-Side-Scanning und Scannen verschlüsselter Kommunikation. Das Innenministerium unter CSU-Minister Alexander Dobrindt will diese Position aufweichen. Die deutsche Delegation „verwies auf die noch andauernde Meinungsbildung innerhalb der Bundesregierung“. Wenn Deutschland kippt, kommt die Chatkontrolle.
Viele Experten kritisieren die Chatkontrolle als gefährlich und unverhältnismäßig. Der Juristische Dienst des EU-Rats bezeichnet sie als rechtswidrig und erwartet, dass Gerichte das geplante Gesetz wieder kippen.
Hunderte Wissenschaftler kritisieren „inakzeptabel hohe Raten an Fehlalarmen und Fehldetektionen“. In der Arbeitsgruppe gesteht auch die Kommission, „dass es realistischerweise keine Technologie gäbe, die fehlerfrei funktioniere“. Trotzdem gehen die Beamten davon aus, dass Unternehmen „zu viele False Positives“ irgendwie verhindern können.
Die Kommission ist gesetzlich verpflichtet, einen Bericht über die freiwillige Chatkontrolle vorzulegen. Anhand von Statistiken soll sie Verhältnismäßigkeit und technischen Fortschritt bewerten. Die Frist war am 4. September. Bis heute gibt es diesen Bericht nicht. Damit bricht die Kommission ihr eigenes Gesetz. Bereits vor zwei Jahren hat die Kommission die gesetzliche Frist gerissen und konnte die Verhältnismäßigkeit der Chatkontrolle nicht belegen.
Unter dem Strich hat auch die neueste Verhandlungsrunde keine Einigung gebracht. Ratspräsidentschaft und Kommission haben keine Mehrheit für eine verpflichtende Chatkontrolle. Doch sie sind nicht bereit, die Chatkontrolle fallenzulassen oder abzuschwächen.
Stattdessen schlagen sie immer wieder das Gleiche vor. Sie hoffen, dass manche EU-Staaten ihre Position ändern. Wenn die deutsche Bundesregierung ihre Meinung ändert, könnten sie damit Erfolg haben.
Dänemark will eine Entscheidung innerhalb der nächsten drei Wochen. Letzte Woche sollten die EU-Staaten schriftliche Kommentare und Anmerkungen einreichen. Am 9. Oktober tagt die Arbeitsgruppe erneut. Am 14. Oktober treffen sich die Justiz- und Innenminister. Wenn es nach Dänemark geht, bringen sie dort das Chatkontrolle-Gesetz auf den Weg.
Hier das Protokoll in Volltext:
TOP 3: Grundlage der Aussprache bildete der am 24. Juli von der DNK Präsidentschaft übermittelte überarbeitete Kompromisstext. Vor dem Hintergrund, dass das EP eine Verlängerung der Interims-VO nur in Aussicht gestellt hat, sofern eine Einigung im Rat erreicht wird, kündigte Vorsitz an, auch weiterhin im JI-Rat am 14. Oktober 2025 eine teilweise Allgemeine Ausrichtung anzustreben.
Zahlreiche wortnehmenden MS wiederholten im Wesentlichen die bereits bekannten Positionen und kündigten schriftliche Ergänzungen im Nachgang an.
Vorsitz bat um Übermittlung der schriftlichen Kommentare und Anmerkungen bis 19.09.2025 und kündigte weitere RAGS-Polizei Sitzungstermine für den 09. Oktober, 10. November und 03. Dezember, ohne inhaltliche Konkretisierung, an.
Bei TOP 5 unterstrichen die MS die Bedeutung der Bekämpfung von Online-Betrug. Neben dem immensen wirtschaftlichen Schaden sei auch der Vertrauensverlust der Bevölkerung zu bedenken. Die Strafverfolgung sei insbesondere mit Drittstaaten schwierig und Informationsaustausch sowie Rechtshilfeverfahren könnten mit der Schnelligkeit der Kriminellen bei diesem Phänomen nicht mithalten. KOM solle auch dies bei der Erarbeitung eines Aktionsplans berücksichtigen. MS könnten bis zum 17. Oktober schriftliche Kommentare einreichen.
VO Schleuserkriminalität: Es gab zwei technische Triloge, die insgesamt sehr konstruktiv verlaufen seien. Vorsitz werde das 4-Spalten Dokument in Vorbereitung der Sitzung der JI-Referent*innen am 17. September übermitteln (mittlerweile erfolgt)
EU Roadmap Drogen- und OK-Bekämpfung: Vorsitz wolle sich auf die Umsetzung von einzelnen Themenbereichen konzentrieren (u.a. Mobilisierung Zoll/Grenzschutz/Sondereinheiten, Rekrutierung von Kindern und Jugendlichen, Synthetische Drogen, Justizielle Zusammenarbeit). Die Diskussionen hierzu würden in der HDG geführt.
Temporary Core Group RAGS Netzwerke: Die erste Sitzung habe stattgefunden. Kernaufgabe sei die Erarbeitung einer Priorisierung der RAGS Netzwerke. Zudem solle eine einheitliche governance Struktur entwickelt werden. Die erste Sitzung habe gezeigt, dass insbesondere die Erarbeitung von validen Kriterien zur Priorisierung schwierig werden könnte. Zur nächsten Sitzung der Core Group mit Vertretern der Netzwerke (29. September, virtuell) solle ein Fragenkatalog beantwortet werden, um die Arbeit der Netzwerke und deren Struktur besser zu verstehen. Eine weitere Sitzung der Kerngruppe sei am 1. Oktober vorgesehen, um die Kriterien für eine Priorisierung zu diskutieren. Vorsitz hoffe zur Vorbereitung auf schriftliche Kommentare der MS und der KOM. Die RAGS werde sich am 9. Oktober wieder mit dem Thema befassen.
EU Abkommen mit Lateinamerikanischen Ländern: EP habe der Unterzeichnung des Abkommens mit BRA zugestimmt. Die Unterzeichnung ECU solle am Rande der UN-Vollversammlung am 23. September stattfinden.
Die nächsten Sitzungen der RAGS finden am 9. Oktober (NICHT 7. Oktober), am 10. November (NICHT 14. November) sowie am 3. Dezember (Vormittags gemeinsame Sitzung mit RAGS-C) statt.
Vorsitz eröffnete die Sitzung mit einer kurzen Zusammenfassung der am Kompromisstext vorgenommenen inhaltlichen und technischen Veränderungen. Ergänzend verwies Vorsitz auf die Ausführungen dazu im Presidency Flash.
Zahlreiche wortnehmende MS (ESP, DEU, POL, AUT, HUN, ROU, SWE, IRL, CYP) betonten die dringende Notwendigkeit, im Lichte der auslaufenden Interims-VO zu einer Einigung zu kommen und kündigten die Übermittlung schriftlicher Kommentare an (AUT, POL, EST, ITA, FIN, HRV, PRT).
BEL teilte mit, den aktuellen Kompromissvorschlag im Prinzip mittragen zu können. Der Text sei in dieser Form nützlich und effizient. Eine Anpassung wird in Bezug auf die Zugänglichkeit von Treffern bei Aufdeckungen angeregt: Treffer könnten beim jeweiligen Diensteanbieter vorgehalten und erst bei Zustimmung durch die zuständige Behörde bzw. ein Gericht übermittelt werden, z.B. bei anhängigen Ermittlungsverfahren oder Anzeigen. Dann könne die Detektion auch in verschlüsseltem Umfeld erfolgen. BEL werde hierzu Textvorschläge übermitteln.
ITA äußerte Zweifel in Bezug auf die Einbeziehung von neuem CSAM in den Anwendungsbereich, zudem solle Audiokommunikation umfassender definiert werden.
Für LTU stehe die Wahrung der Grundrechte im Fokus, gleichzeitig solle der Kompromissvorschlag aber auch so ambitioniert wie möglich sein. LTU unterstütze den Vorschlag weiterhin.
EST merkte an, der Text solle in Bezug auf Altersverifikation (Art. 28 DSA) an den DSA angeglichen werden. DSA und DSGVO sollten im Text ausdrücklich genannt und darauf Bezug genommen werden. Im Übrigen könne EST die Änderungen in Art. 10 nicht mittragen. Der Zugang zu Verschlüsselung müsse an einer einheitlichen Stelle behandelt werden.
LVA bewertet den Text positiv, ob dieser auch politische Unterstützung finde, sei aber noch unklar, da der Vorschlag über die Sommerpause vermehrt politische Aufmerksamkeit erhalten habe.
ESP unterstrich deutlich, den Vorschlag weiterhin vollumfänglich zu unterstützen und machte klar, dass die Signale aus dem EP zur möglichen Verlängerung der Interims-VO nicht gut seien.
Vorsitz bestätigt, dass man sich des Zeitdrucks sehr bewusst sei und sich diesbezüglich in engem Austausch mit der KOM und dem EP befinde. Um mit den Trilogverhandlungen zu beginnen, brauche es deutliche Fortschritte im Rat.
SVK gab an, den Vorschlag weiterhin zu prüfen. Hierbei stünden Cybersicherheit und die Grundrechte im Fokus. Ein nicht-selektives Scannen von Kommunikation sei problematisch, daher könne man derzeit noch keine positive Rückmeldung geben.
CZE äußerte Zweifel an der Verhältnismäßigkeit des Vorschlages und kündigte an, diesen im Falle einer Abstimmung abzulehnen.
POL teilte mit, dem Vorschlag weiterhin nicht zustimmen zu können und legte Prüfvorbehalt ein. Man unterstütze das Ziel der CSA–VO aber nicht so, wie im aktuellen Kompromissvorschlag. Prävention müsse verstärkt werden. Generell sei man gegen alles, was Datenschutz und den Schutz der Privatsphäre in Frage stelle.
FIN sah den Vorschlag ambivalent; er enthalte Regelungen, die einen stärkeren Schutz böten, aber eben auch problematische Bestimmungen.
BGR unterstützte ausdrücklich den Vorschlag, auch in Bezug auf Altersverifikation.
AUT verweist auf die bereits bekannte und unveränderte Position und kündigte schriftliche Kommentare mit weiteren technischen Anmerkungen an. Vorsitz verwies auf AUT Nachfrage zum Zeitplan und weiteren Vorgehen auf den Presidency Flash und bekräftigt das Vorhaben, am 14. Oktober zu einer Allgemeinen Ausrichtung zu kommen.
DEU trug weißungsgemäß vor, legte weiterhin Prüfvorbehalt ein und verwies auf die noch andauernde Meinungsbildung innerhalb der Bundesregierung und die Notwendigkeit einer regierungsabgestimmten Position.
PRT sah den Text als in die richtige Richtung gehend an. Est müsse nochmal geprüft werden, ob die im Flash angekündigten Änderungen bereits alle in den Text übernommen seien. PRT gab weiterhin zu bedenken, dass der Erfolg des EU-Zentrum wesentlich davon abhinge, wie gut die Regelungen zu den nationalen Strukturen der MS passten.
HUN hielt seinen Prüfvorbehalt aufrecht, dieser sei aber positiv und nur aus technischen Gründen notwendig. Angemerkt wurde weiterhin, dass die in Art. 24 Abs. 6 genannte Frist von 3 Monaten zu lang sei, HUN schlage unverzüglich bis max. 8 Tage vor (auch FRA). Vorsitz erwiderte, man habe sich in Bezug auf die Frist von 3 Monaten an der NIS–RL orientiert und diese von dort übernommen.
IRL unterstützt den Kompromissvorschlag, dieser biete einen deutlichen Mehrwert. Die zusätzlichen Safeguards gewährleisten eine gute Balance zwischen Datenschutz und Kinderschutz.
FRA zeigte im Großen und Ganzen Einverständnis mit dem vorliegenden Text. Es sei gut, dass die Aufdeckungsanordnungen wieder enthalten seien. Ebenso sei es zu begrüßen, dass die Risikoklassifizierung und Client-Side-Scanning enthalten seien. Die Verhältnismäßigkeit sei gewahrt. Wichtig sei, die Humankontrolle bei Treffern zu gewährleisten. FRA hätte daher gerne das Hit-System wieder im Text, um die Zahl der False Positives zu verringern. Zudem müsse es die Möglichkeit geben, Dienste bei entsprechenden Erkenntnissen schnell zu „Hochrisikodienst“ hochstufen zu können. Da Sextortion ein großes Problem in FRA sei, plädiere FRA für eine kürzere Review Frist beim Grooming (18 Monate anstatt 3 Jahre). FRA begrüßte zudem die Zertifizierung von Aufdeckungstechnologien, sowie die vorgesehene Verlängerung der Interims-VO um 72 Monate.
Vorsitz erläuterte, dass das Hit-System von zahlreichen MS als kritisch bewertet wurde und man es daher herausgenommen habe.
ROU unterstützte den Text, würde die Risikokategorisierung aber lieber auf 2 anstatt 3 Kategorien beschränken.
NLD und LUX unterstützen das Ziel des VO-Entwurfes, zeigten sich aber mit dem Kompromisstext nicht einverstanden und verwiesen auf die bekannten Positionen. Kritisch bewerte NLD zudem auch Ausgestaltung der Zustimmung durch den Nutzer.
SWE gab sich insgesamt positiv und begrüßte, dass die Aufdeckungsanordnung und die Verschlüsselung wieder aufgenommen wurden. Man prüfe den Kompromisstext jedoch noch und arbeite an einer Position. SWE frage sich aber, ob die aktuelle Formulierung in Bezug auf E2EE eine Beschränkung im Hinblick auf künftige Technologien darstellen könnte.
Vorsitz verwies in Bezug auf die Formulierung von Art. 1 Abs. 5 auf die Arbeit unter den vorangegangenen Ratspräsidentschaften, darauf basiere die Formulierung. Man sähe darin das notwendige Gleichgewicht zwischen Kinderschutz und Schutz von Privatsphäre und Cybersicherheit.
HRV begrüße die letzten Änderungen im Text. Man wünsche sich aber eine klarere Begriffsbestimmung in Bezug auf die Client-Side-Scanning-Technologie und visuelle Inhalte.
CYP stimmt dem Kompromissvorschlag zu und gab an, alles zu unterstützen, was dafür sorge, dass die Bürger sicherer seien. Der Text ginge in die richtige Richtung. Der VO-Entwurf habe höchste Priorität.
KOM berichtete auf Nachfrage BEL, dass der Evaluierungsbericht zur Umsetzung der Interims-VO in Arbeit sei und schnellstmöglich vorgelegt werde. Die Datensammlung sei schwierig gewesen und zahlreiche Nachfragen erforderlich gewesen, was die Verzögerung erkläre.
KOM führte weiterhin aus, dass sich nach Auskunft von NCMEC die Anzahl der Fälle von Sextortion um das 12-fache erhöht habe. Die Zahlen von Grooming und finanzieller Erpressung seien extrem gestiegen. Z.B. in Südafrika und auf den Philippinen hätten sich OK-Gruppierungen hierauf spezialisiert. Nach NCMEC Zahlen müsse man davon ausgehen, dass dieses Phänomen bereits zu 3.000 Selbstmorden von Kindern geführt haben.
Insgesamt sei die Anzahl an NCMEC-Meldungen seit Einführung der E2EE im Facebook Messenger um 7 Mio. gesunken. Insgesamt seien aber bei Anbietern ohne E2EE die Meldungen gestiegen. Das zeige deutlich, dass verschlüsselte Kommunikation im Anwendungsbereich der CSA–VO verbleiben müsse.
Zum Thema False Positives müsse klar kein, dass es realistischerweise keine Technologie gäbe, die fehlerfrei funktioniere. Unternehmen würden aber nie eine Technologie verwenden, die zu viele False Positives erzeugt. Und auch das EU-Zentrum würde eine solche nicht akzeptieren oder gar zertifizieren, um eine Überflutung mit Falschmeldungen zu verhindern.
Zu dem von BEL vorgeschlagenen Verfahren führte KOM aus, dass es praktisch nicht zu handhaben wäre, die Treffer zunächst ausschließlich beim Anbieter zu speichern. Wie solle die Strafverfolgung Kenntnis davon erlangen? Man könne nicht akzeptieren, dass Kinder missbraucht würden, Anbieter auch entsprechende Hinweise dazu hätten, diese aber erst ans Licht kämen für den Fall, dass es bereits ein Ermittlungsverfahren gäbe. Das sei absolut inakzeptabel.
Vorsitz bat abschließend um Übermittlung der schriftlichen Kommentare und Anmerkungen bis 19.09.2025 zur Vorbereitung der (teilweisen) Allgemeinen Ausrichtung im Rahmen des JI-Rates am 14. Oktober 2025.
KOM informierte kurz über die Pläne für ein Netzwerk zur Prävention von sexuellem Kindesmissbrauch. Einladungen zur Nominierung von Expert*innen seien versandt worden, zuletzt mit Schreiben/Email an die StäVen vom 11.9.2025. Die Nominierten sollten in der öffentlichen Verwaltung arbeiten und einen entsprechenden professionellen Hintergrund haben. Nominierungen müssten bis 30. September erfolgen.
FIN präsentierte die nationalen Plattformen für die Kommunikationsmit dem Privatsektor (Bank Inquiry System, LEA Warrant Management and lawfull interception, Phenomen-level exchange of information). Diese diene insbesondere auch der Prävention. Präventionskosten seien insgesamt steigend und man wolle mit passenden Instrumenten diese Kosten senken. Die Plattformen würden auch bei der Nachverfolgbarkeit von kriminellen Gewinnen helfen.
Europol präsentierte die Erkenntnisse der Bereiche EFECC und EC3 und kündigte eine Veröffentlichung zu spoofing an.
Auf Basis der im Bezugsdokument übermittelten Fragen fand eine umfassende Aussprache statt. Die Bedeutung des Themas wurde von allen wortnehmenden MS (EST, BGR, POL, CZE, FRA, DEU, BEL, SWE, SVN, NLD, GRC, LVA, CYP, LTU, SVK, ESP, FIN, AUT, PRT, DNK, ROU, HRV) betont. Viele MS nannten Investitionsbetrug sowie fake shops/Banken als häufigste Form des online Betruges (DEU, BGR, LTU, FIN, HRV, SVK, PRT, AUT, SVN, BEL, FRA, CZE). Als weitere Bedrohungen wurden Schockanrufe/falsche Polizei- oder Behördenmitarbeiter*innen (DEU, BEL, EST, CZE, LVA, LTU, SVK) und Kontaktbetrug u.a. romantic scam (SWE, FRAU, DEU, POL). Neben dem wirtschaftlichen Schaden sei auch der Vertrauensverlust der Bevölkerung bzw. ein entsprechendes Unsicherheitsgefühl zu beachten (NLD, LVA, PRT). Die Problematik werde durch die Einsatzmöglichkeiten von KI noch verstärkt (DEU, ROU, POL, CZE, HRV). Als besondere Herausforderung sahen die meisten Staaten die grenzüberschreitende Zusammenarbeit an. Gewinnes seien immens und würden schnell auf ausländische Konten verschoben. Auch säßen die Tätergruppierungen meist im Ausland (DEU, HRV). Ein möglicher künftiger Rechtsrahmen müsse dies berücksichtigen; aktuell sei die grenzüberschreitende Zusammenarbeit, insbesondere mit Drittstaaten viel zu langsam oder gar unmöglich. Der Informationsaustausch müsse deutlich schneller werden (DEU, EST, POL, FRA, SWE, NLD, LTU, SVK, PRT), hierbei könnten öffentlich-private Partnerschaften hilfreich sein. Man müsse die Privatwirtschaft stärker in die Pflicht nehmen. Zudem seien verstärkte Sensibilisierungskampagnen und weitere Präventionsmaßnahmen sinnvoll (DEU, EST, BGR, SVK, ROU, CZE, FRA, SWE, GRC, NLD, PRT). Neben uns erwähnten auch NLD, FIN, FRA und KOM Europol als wichtigen Partner bzw. erwähnten EMPACT als Möglichkeit der Zusammenarbeit.
KOM dankte für die Diskussion und sagte zu, die Beiträge bei der Erarbeitung eines Aktionsplans zu berücksichtigen. Man werde sicherlich die Problematik der verbesserten Kooperation und Koordination aufgreifen und versuchen, einen automatisieren Informationsaustausch zu fördern. Wichtig sei ein ganzheitlicher und multidisziplinärer Ansatz. So habe es schon vereinzelt Kooperationen zwischen Strafverfolgung und Verbraucherschutz gegeben. Beim EMPACT habe man eine einsprechende OA vorgeschlagen. Es habe sich aber kein Action Leader hierfür gefunden.
Vorsitz sagte zu, die Diskussion weiter zu verfolgen und bat um schriftliche Kommentare bis zum 17. Oktober.
KOM berichtete kurz über die fortlaufenden Arbeiten zur Zukunft von Europol. Es habe in den letzten Monaten neben dem Kick-off Treffen auch Diskussionen im COSI sowie beim Europol Verwaltungsrat gegeben. Man befinde sich zudem im engen Austausch mit Europol. KOM habe zusätzliches Personal gewonnen und einen beträchtlichen Anstieg der Mittel für den nächsten MFR angemeldet. KOM plane nun die angekündigten technischen Workshops (6./7. November, 18/19. Dezember). Einladungen mit weiteren Informationen würden in Kürze übersandt. Der Evaluierungsbericht gemäß Art. 68 werde demnächst abgeschlossen. Zudem bereite ein Vertragsnehmer derzeit eine Studie durch, die in ein staff working document einfließen solle. KOM appeliere an de MS, den Vertragsnehmer hierbei zu unterstützen.
KOM berichtete zudem über eine Machbarkeitsstudie zum Thema Polizeiausbildung. Ziel sei eine Verbesserung des Ausbildungsniveaus insbesondere im Bereich der internationalen Zusammenarbeit. Auch hierbei werde es umfangreiche Konsultationen geben. CEPOL sei eingebunden. Ein „Validierungsworkshop“ sei am 17. Dezember geplant.
Mit Paypal kann man jetzt auch in Geschäften zahlen – und sogar auf dem Flohmarkt, wie Schauspieler Will Ferrell in einer Werbekampagne zeigt. In der deutschen Version sagt er zu einem kleinen Jungen, der ihn beim Kauf einer Actionfigur über den Tisch zieht: „Wenigstens meine Daten sind sicher vor euch Abzockern.“ Doch die Aussage ist nicht wahr.
Die Finanztransaktionsplattform PayPal positioniert sich in einer Werbekampagne als Alternative zum Bargeld. Dabei gibt es einen drastischen Unterschied zwischen beiden Zahlungsmitteln. Bargeld wird zwar auch getrackt, aber die Daten, die Paypal erhebt – und an Werbetreibende verkauft – sind viel umfassender als nur die Info, welche Summe von wo nach wo wandert.
Das Netzwerk Datenschutzexpertise hat die Datenschutzpraxis von Paypal im Rahmen eines juristischen Gutachtens untersucht und kommt zu einem vernichtenden Ergebnis. Das Unternehmen erfasst, was du zu welchem Preis kaufst, von welchem Unternehmen du es erwirbst, und wohin du es liefern lässt. Es speichert Standortdaten, die Liste der Apps auf deinem Telefon, welches Gerät und welchen Browser du benutzt und welche Websites du besuchst.
Das Unternehmen erlaubt sich laut Datenschutzerklärung auch, deinen Fingerabdruck zu erfassen, dein Einkommen, deine Telefon- und Steuernummer, deinen Beruf, dein Alter, dein Geschlecht, deine Kreditwürdigkeit und deine finanzielle Situation. In dem Datensatz, den der Konzern über dich anlegt, sind – so die Datenschutzerklärung – womöglich auch religiöse Überzeugungen, politische oder philosophische Ansichten, Behinderungen und die sexuelle Orientierung vermerkt, sowie „Daten aus den von Ihnen verknüpften Drittkonten“.
PayPal kann laut dem Gutachten extrem sensible Informationen sammeln, weil auch Zahlungen an Gesundheitseinrichtungen oder Anwält*innen, sowie Spenden an politische Parteien und religiöse Institutionen über die Plattform abgewickelt werden. PayPal speichert die Daten, so lange das Konto existiert und zehn Jahre darüber hinaus.
Paypal ist im Internet das populärste Zahlungsmittel. Im Frühjahr 2025 – kurz vor dem Start der Webekampagne mit Will Ferrell – ist der Konzern auch ins Werbegeschäft eingestiegen. Er nutzt dabei Zahlungsdaten, um Werbung zu personalisieren.
Das Netzwerk Datenschutzexpertise schreibt in seinem Gutachten: „Die hohe Aussagekraft der Finanztransaktionsdaten begründet ein hohes Nutzungs- und auch ein hohes Missbrauchspotenzial“. So sei damit beispielsweise manipulative Werbung möglich und auch eine diskriminierende Preisgestaltung.
Dabei muss Zahlungsverkehr in Deutschland und Europa eigentlich anonym ablaufen. Ausnahmen von der Regel sind nur erlaubt, wenn sie eindeutig nötig und gut begründet sind.
Laut des Gutachtens informiert PayPal seine Kund*innen nicht hinreichend darüber, wofür, an wen und auf welcher Rechtsgrundlage Daten weitergegeben werden und speichert die Daten unerlaubt lange. Zudem geht das Unternehmen davon aus, dass Menschen mit der Nutzung des Dienstes in die Datenverarbeitung einwilligen. Dabei muss diese Einwilligung – spätestens, wenn es um sensitive Daten, Marketing- und Werbezwecke oder die Weitergabe von Daten geht – tatsächlich bewusst, informiert, genau definiert und unabhängig von der Verfügbarkeit des Dienstes gegeben werden, um rechtmäßig zu sein. Die Kund*innen müssen wissen, wozu sie da eigentlich zustimmen.
Der Konzern bietet Unternehmen die personenbezogenen Informationen laut dem Gutachten in aggregierter Form an. Die Firmen können dann über PayPal auf Webseiten, Apps und Smart-TVs Werbung platzieren, die angeblich die Zielgruppe sehr genau erreicht. Auch der direkte Verkauf der Daten an Werbefirmen war zumindest mal geplant. Über die aktuelle Umsetzung dieses Projekts in Europa ist dem Netzwerk Datenschutzexpertise nichts bekannt.
Einen Teil der Informationen sammelt PayPal angeblich, um betrügerische Kontozugriffe zu verhindern. Im August 2025 waren die Anmeldedaten zu 15 Millionen PayPal-Konten im Darknet aufgetaucht, woraufhin die Zahl der Betrugsversuche massiv in die Höhe ging.
PayPal behält sich vor, die erfassten Daten weiterzugeben, beispielsweise an Behörden, andere Finanzinstitute, Inkassobüros, Auftragsverarbeiter und Partnerunternehmen. Eine Liste mit möglichen Datenempfängern umfasst 600 Firmen aus vielen Staaten der Welt.
Die Datenschutzerklärung, die 7.000 Wörter umfasst, lässt „nicht erkennen, mit welchen Daten auf welcher Rechtsgrundlage welche Zwecke verfolgt werden“, so das Netzwerk Datenschutzanalyse. Problematisch sei, dass sowohl die Kategorien der Daten als auch die Arten der Verarbeitung nur beispielhaft und nicht abschließend aufgeführt werden.
Auch die AGB seien ausgesprochen nutzerunfreundlich. Sie umfassen 17 Dokumente, wobei für Kund*innen nicht ersichtlich sei, welche für sie relevant sind. Hinzu kommen 20.000 Wörter Nutzungsbedingungen ohne Inhaltsverzeichnis. Mit der Eröffnung eines Kontos erklären sich Nutzer*innen mit all diesen Bedingungen einverstanden.
Die Nutzung der Daten zu Werbezwecken ist in PayPal-Konten voreingestellt. Wer das abschalten möchte, muss auf der Website erst auf „Daten und Datenschutz“ und dann auf „personalisierte Angebote und Werbung“ klicken. Dort lässt sich ein Regler zwischen einem grauen und einem schwarzen Feld hin- und herbewegen. Dass die rechte, schwarz hinterlegte Option die datenschutzfreundliche ist, wird nicht erklärt. Der mögliche Opt-Out steht im Widerspruch zur Datenschutzgrundverordnung, wonach die Voreinstellung eine möglichst geringe Datenverarbeitung („Privacy by Default“) vorsehen muss.
Als besonders problematisch sieht das Netzwerk Datenschutzexpertise, dass die personenbezogenen Daten auch nach außerhalb der EU übermittelt werden. Der Hauptsitz von PayPal ist in den USA, dort sind die Daten deutlich schlechter geschützt als in Europa. Zudem ist das Unternehmen gezwungen, Daten an US-Behörden herauszugeben, wenn diese sie anfordern.
Die Datenschutzexpert*innen sehen ihre Analyse der Datenschutzpraxis von PayPal nur als exemplarischen Fall. „Es ist zu vermuten, dass die bei PayPal festgestellten Mängel in ähnlicher Form bei anderen Unternehmen in diesem Bereich bestehen“, schreiben sie. BigTech-Unternehmen würden zunehmend versuchen, auf Finanztransaktionsdaten zuzugreifen, um diese mit Daten aus anderen Anwendungen zu kombinieren und kommerziell zu nutzen. Deshalb fordern die Datenschutz-Expert*innen, die Nutzung von Finanzdaten für Werbezwecke generell zu verbieten.
Laut Heise Online prüft Paypal das Gutachten derzeit. Es lässt sich wie folgt zitieren: „Die Einhaltung der EU-Datenschutzanforderungen ist für uns sowohl für die Entwicklung als auch den Betrieb unserer Produkte von zentraler Bedeutung, um ein qualitativ hochwertiges Erlebnis und Sicherheit im Zahlungsverkehr für unsere Kund:innen sicherzustellen.“
In der letzten Episode des Jahres 2025 blicken c’t-Redakteur Holger Bleich und heise-Verlagsjustiziar Joerg Heidrich im c’t-Datenschutz-Podcast auf zwölf turbulente Monate zurück. Mit dabei ist wieder einmal Rechtsanwältin Anna Cardillo. Cardillo ist Partnerin in der Berliner Kanzlei MYLE. Sie berät Unternehmen und Behörden im Bereich Datenschutz und Informationssicherheit.
Weiterlesen nach der Anzeige
(Bild: Rechtsanwältin Anna Cardillo diskutiert, zugeschaltet aus Berlin, in der Auslegungssache mit.)
Zu Beginn diskutieren die drei einen aktuellen „Paukenschlag“: Der gemeinsame Beschluss von Bundeskanzler und Länderchefs zur Staatsmodernisierung enthält weitreichende Pläne zur Verschlankung der Datenschutz-Durchsetzung. So soll etwa die Pflicht zur Benennung betrieblicher Datenschutzbeauftragter wegfallen. Cardillo kritisiert das scharf: Die Anforderungen der DSGVO blieben ja bestehen, nur fehle dann die Person, die sich darum kümmert. Von Entbürokratisierung zu sprechen, sei irreführend.
Beim Blick auf das Datenschutzabkommen mit den USA sind sich die drei einig: Die Lage bleibt brisant. Zwar hat ein US-Gericht im Mai entschieden, dass zwei Mitglieder der US-Datenschutz- und Freiheitsrechtekommission PCLOB (Privacy and Civil Liberties Oversight Board) rechtswidrig durch den amtierenden Präsidenten Donald Trump entlassen wurden. Doch die Ankündigung Trumps, dem Datenschutzabkommen de facto komplett die Grundlage zu entziehen, schwebt wie ein Damoklesschwert über den EU-US-Datentransfers. Cardillo rät Unternehmen dringend, sich auf Alternativen vorzubereiten.
Das Jahr brachte auch saftige Bußgelder: TikTok kassierte in Irland 530 Millionen Euro wegen Datentransfers nach China, Vodafone in Deutschland 45 Millionen Euro wegen Sicherheitslücken und mangelnder Kontrolle von Vertriebspartnern. Die Runde sieht darin ein wichtiges Signal, dass Unternehmen ihre Dienstleister sorgfältiger überwachen müssen.
Große Sorgen bereitet den Diskutanten die aktuelle Rechtsprechung zur Haftung von Plattformen. Das EuGH-Urteil im Fall „Russmedia“ deutet darauf hin, dass Forenbetreiber und Social-Media-Plattformen künftig Inhalte schon vor der Veröffentlichung prüfen müssen, um nicht sofort für Datenschutzverstöße haftbar zu sein. Dies könnte das Ende des bewährten „Providerprivilegs“ bedeuten, bei dem Plattformen erst ab Kenntnis einer Rechtsverletzung haften, und faktisch zu einer umfassenden Überwachungspflicht durch Upload-Filter führen.
Zum Abschluss diskutiert das Trio das sogenannte „Omnibus-Paket“ der EU, das weitreichende Änderungen an der DSGVO und anderen Digitalgesetzen vorsieht. Während Heidrich durchaus pragmatische Erleichterungen erkennt, befürchtet Bleich eine Aufweichung des Datenschutzes zugunsten der Industrie, etwa beim Training von KI-Modellen mit Nutzerdaten. Am Ende fällt das Fazit der Runde fällt eher pessimistisch aus: Der Datenschutz stehe vor schwierigen Zeiten.
Weiterlesen nach der Anzeige
Episode 149:
Hier geht es zu allen bisherigen Folgen:
(hob)
IT-Forscher von Flare haben Images auf Docker Hub untersucht, ob darin geheime Zugangsdaten enthalten und extrahierbar sind. Sie konnten aus mehr als 10.000 Images solcher Secrets auslesen.
Weiterlesen nach der Anzeige
In einer Analyse geben die IT-Sicherheitsforscher einen Überblick und geben Hinweise, wie sich Organisationen besser vor solchem unbeabsichtigtem Datenabfluss schützen können. Die IT-Analysten haben untersucht, wem die Zugangsdaten gehören, auf welche Umgebungen sie Zugriff ermöglichen und wie groß die potenziellen Auswirkungen auf betroffene Einrichtungen und deren Umfeld sind.
Der Docker Hub ist eine zentrale Stelle in der Cloud zur Registrierung, Ablage und zum Teilen von Images. Diese können öffentlich oder privat sein und lassen sich etwa zur automatisierten Bereitstellung von Software nutzen. Nach einem Monat sind die Flare-Mitarbeiter auf mehr als 10.000 Abbilder gestoßen, die Secrets geleakt haben – einschließlich Zugangsdaten zu Produktivsystemen. Davon betroffen sind mehr als 100 Organisationen, eine davon sogar in den Fortune-500 gelistet und eine große Bank. Vielen war der Datenabfluss gar nicht bewusst.
Ganze 42 Prozent der Images enthielten sogar fünf oder mehr Secrets, sodass mit ihnen in einem Rutsch Zugang zu ganzen Cloud-Umgebungen, Softwareverteilung und Datenbanken der Organisation möglich wurde. Den größten Anteil an den abgeflossenen Secrets hatten API-Keys zu KI-LLM-Modellen, alleine dafür kamen rund 4000 zusammen. Für die IT-Forscher ist das ein Hinweis, wie sehr die KI-Nutzung die Anpassung der Sicherheitskontrollen bereits überholt hat. Ein weiterer großer Posten entfällt auf sogenannte Schatten-IT-Zugänge – persönliche Zugangsdaten von Mitarbeitern oder Vertragspartnern. Die sind für unternehmensweite Monitoring-Systeme unsichtbar, erklären die Forscher.
Zwar hätten Entwickler oftmals abgeflossene Secrets aus Containern entfernt, jedoch haben etwa drei Viertel von ihnen die betroffenen Keys nicht zurückgezogen und erneuert, was die Organisationen für Monate oder Jahre exponiert lässt. Flare führt das zur Schlussfolgerung, dass Angreifer sich nicht in die Systeme reinhacken, sondern dort hinein authentifizieren. Als Beispiel dafür nennen die IT-Forscher den Shai-Hulud-2-Wurm, der sich im npm-Ökosystem ausbreitet. Die Analyse liefert Interessierten noch detailliertere Einblicke.
Eine Artikelreihe auf heise online widmet sich der Docker Image Security und gibt konkrete Hinweise, wie man etwa minimale, sichere Container-Images selbst baut. Da nicht nur in Docker-Images häufig vertrauliche Zugangsdaten enthalten sind, sondern auch allgemein in (öffentlichen) Repositories aus der Softwareentwicklung vielfach Credentials zu finden sind, gibt es sogar Tools, die beim Aufspüren von geleakten Secrets auf GitHub helfen.
Weiterlesen nach der Anzeige
(dmk)
Illustrierte Reise nach New York City › PAGE online
Aus Softwarefehlern lernen – Teil 3: Eine Marssonde gerät außer Kontrolle
Top 10: Die beste kabellose Überwachungskamera im Test
Fake It Untlil You Make It? Trifft diese Kampagne den Nerv der Zeit? › PAGE online
SK Rapid Wien erneuert visuelle Identität
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
Neue PC-Spiele im November 2025: „Anno 117: Pax Romana“
Schluss mit FOMO im Social Media Marketing – Welche Trends und Features sind für Social Media Manager*innen wirklich relevant?
