Seit dreieinhalb Jahren streiten die EU-Institutionen über die Chatkontrolle. Die Kommission will Internet-Dienste verpflichten, die Inhalte ihrer Nutzer auf Straftaten zu durchsuchen und diese bei Verdacht an Behörden zu schicken. Das Parlament bezeichnet das als Massenüberwachung und fordert, nur unverschlüsselte Inhalte von Verdächtigen zu scannen.

Die EU-Staaten konnten sich bisher nicht auf eine gemeinsame Position einigen. Vor zwei Wochen hat die dänische Ratspräsidentschaft einen neuen Kompromiss vorgeschlagen. Internet-Dienste sollen freiwillig Chats kontrollieren dürfen, aber nicht dazu verpflichtet werden.

Letzte Woche haben die Ständigen Vertreter der EU-Staaten den Vorschlag diskutiert. Wir veröffentlichen ein weiteres Mal das eingestufte Protokoll der Sitzung.

Die Vertreter diskutierten auf Basis eines vier-seitigen Debatten-Papiers. Am Tag darauf hat die dänische Ratspräsidentschaft einen neuen Gesetzentwurf verschickt, den wir ebenfalls veröffentlichen.

Geisel des Datenschutzes

Die Ratspräsidentschaft sagte zum eigenen Kompromissvorschlag, „dass man sich mehr erhofft habe und mit dem eigenen Vorschlag nicht glücklich sei“. Dänemark hätte die verpflichtende Chatkontrolle gern durchgesetzt. „Die Möglichkeiten seien aber erschöpft.“

Für die Kommission sei es „sehr schwer zu akzeptieren, dass man es nicht geschafft habe, die Kinder besser vor sexuellem Missbrauch zu schützen“. Die Kommission dankte „allen Anwesenden, die versucht hätten, ein anderes und besseres Ergebnis zu erzielen“.

Einige Staaten drückten ebenfalls „ihr Bedauern aus, keine bessere Lösung gefunden zu haben“. Frankreich nutzte drastische Worte: „Wir sind eine Geisel des Datenschutzes und müssen einem Weg zustimmen, den wir eigentlich für nicht ausreichend erachten, nur weil uns nichts anders übrigbleibt.“

Gegen vermeintliche Überwachung

Der Juristische Dienst des EU-Rats hat die Chatkontrolle als rechtswidrig bezeichnet. Die Kommission lässt sich von solcher Kritik nicht beeindrucken. Stattdessen fordert sie: „Mit Blick auf die Zukunft gelte es, bei vergleichbaren Dossiers besser zu kommunizieren.“

Auch die Ratspräsidentschaft kritisiert die Medien: „Jene Medien, die heute gegen vermeintlich vorgesehene Überwachungsmaßnahmen anschreiben, [würden] schon morgen den Staat dafür kritisieren, seine Kinder nicht hinreichend zu schützen.“

Kinderschutz statt Chatkontrolle

Von Anfang an schreiben wir gegen die Chatkontrolle. Noch länger kritisieren wir den Staat für mangelnden Kinderschutz. Schon vor dem Chatkontrolle-Gesetzentwurf kritisierten wir, dass Polizei und Strafverfolger pädokriminelle Inhalte nicht löschen, sondern online lassen. Das passiert bis heute. Eine Bund-Länder-Gruppe hat einen Bericht dazu verfasst. Der soll jedoch geheim bleiben und nicht öffentlich werden.

Die Vorwürfe erinnern an die Auseinandersetzung zu Netz-Sperren in Deutschland um 2010. Schon damals hat die Bundesregierung keine umfassenden Kinderschutz-Konzepte entwickelt, sondern sich ausschließlich auf Netz-Sperren konzentriert. Die Gegner bewiesen, dass Löschen statt Sperren effektiver und nachhaltiger ist. Seitdem beweist die Bundesregierung jedes Jahr, dass wir recht hatten.

Auch in der Debatte um die Chatkontrolle gibt es viele konkrete Vorschläge für besseren Kinderschutz. Die Chatkontrolle-Befürworter verhindern, über diese konkreten Lösungen zu sprechen.

Keine weiteren Änderungen

Die Ratspräsidentschaft erhielt in der Sitzung für ihren Kompromissvorschlag „ohne Gegenstimme breite Unterstützung“. Mehrere EU-Staaten forderten, „über die von der dänischen Präsidentschaft vorgeschlagenen Änderungen hinaus keine weiteren Streichungen vorzunehmen“.

Auch der Vertreter Deutschlands empfiehlt der Bundesregierung, „die dänische Präsidentschaft weiterhin zu unterstützen“. Deutschland soll „aktiv dafür eintreten“, dass „keine weiteren Änderungen am bereits bekannten Rechtstext vorgenommen werden“.

Das sahen nicht alle Verhandler so. Die Kommission und einige Staaten wie Spanien und Ungarn forderten, die „Pflicht zur Aufdeckung von Missbrauchsdarstellungen […] zumindest für öffentlich zugängliche Webseiten beizubehalten“. Das lehnte die Ratspräsidentschaft ab, weil damit neue Fragen aufkommen und Zeit verloren geht.

Die Bundesdatenschutzbeauftragte kritisierte am Tag der Rats-Verhandlungen weitere Teile des Gesetzentwurfs. Freiwilliges Scannen erfolgt ohne Rechtsgrundlage und damit rechtswidrig. Ein Ausschuss von Jugendlichen schränkt digitale Teilhabe ein. Eine verpflichtende Altersverifikation kann zur weitgehenden Abschaffung der Anonymität im Netz führen. Und Berichtspflichten für Diensteanbieter schaffen Anreize, Scanning als faktisch verpflichtend durchzuführen.

Einvernehmen zur Stoßrichtung

Die EU-Staaten diskutierten diese Elemente am Mittwoch nicht. Die Ständigen Vertreter sprachen ausschließlich über das vier-seitige Debatten-Papier. Die Ratspräsidentschaft schlussfolgerte, dass „dass Einvernehmen zur vorgeschlagenen neuen Stoßrichtung bestehe“.

Am Donnerstag hat die dänische Ratspräsidentschaft einen neuen Gesetzentwurf verschickt. Übermorgen tagt wieder die Arbeitsgruppe Strafverfolgung. Dort werden die Staaten den Gesetzentwurf detailliert besprechen.

Hier das Dokument in Volltext:

• Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
• Datum: 5. November 2025
• Von: Ständige Vertretung der BRD bei der EU
• An: Auswärtiges Amt
• Kopie: BKAmt, BMF, BMI, BMJ, BMWE
• Betreff: 3003. AStV (2. Teil) vom 5. November 2025
• Hier: TOP 36: (Child Sexual Abuse) Einigung auf „way forward“
• Zweck: Zur Unterrichtung
• Geschäftszeichen: Pol 350.1.3
• DKOR-ID: BRUEEU_2025-11-05_77277

Child Sexual Abuse: Einigung auf „way forward“

I. Zusammenfassung und Wertung

DNK PRÄS erhielt im heutigen AStV ohne Gegenstimme breite Unterstützung für das von ihnen vorgeschlagene (in Dokument 14032/25 skizzierte) weitere Vorgehen zur „Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“.

In einem eindrücklichen Appell dankte KOM allen Anwesenden, die versucht hätten, ein anderes und besseres Ergebnis zu erzielen. Die über Internetplattformen geteilten Bilder und Filme seien regelmäßig die einzige Möglichkeit für Strafverfolgungsbehörden, um überhaupt auf sexuellen Missbrauch von Kindern aufmerksam zu werden. Die betroffenen Kinder seien meist zu jung, um zu verstehen, was ihnen widerfährt; zudem stammten die Täter nicht selten aus dem näheren Umfeld. Die von den Unternehmen (im Rahmen der freiwilligen Kooperation) bei der Aufdeckung kinderpornographischen Bildmaterials genutzten Technologien seien dieselben, die auch zur Bekämpfung von Malware und Spam eingesetzt würden: Hier wie dort gebe es keinen Einblick in Inhalte, von einer Überwachung könne deshalb keine Rede sein. Im Internet gebe es eine regelrechte Flut von Bildern und Filmen, die sexuellen Missbrauch darstellten und die Opfer immer und immer wieder an die schlimmsten Momente ihres Lebens erinnerten. Dass allein diese Bilder eine schwerwiegende Verletzung der Grundrechte der Opfer bedeuten, finde in der Diskussion aber kaum Beachtung. Insgesamt sei es für KOM sehr schwer zu akzeptieren, dass man es nicht geschafft habe, die Kinder besser vor sexuellem Missbrauch zu schützen. Es sei nun aber richtig und wichtig, voranzuschreiten, da man sich in einem Wettlauf mit der Zeit befinde. KOM dankte in diesem Zusammenhang der DNK PRÄS ausdrücklich für ihr hohes Tempo. Es müsse weiterhin alles getan werden, um die durch das Auslaufen der Interims-VO im April 2026 drohende Verschlechterung des heutigen Status Quo soweit möglich zu vermeiden (ebenso GRC). Das Bewusstsein, dass die Zeit drängt und die Triloge dauern werden, müsse nun auch in den Hauptstädten reifen. Mit Blick auf die Zukunft gelte es, bei vergleichbaren Dossiers besser zu kommunizieren.

Vorsitz stimmte diesen Ausführungen zu und merkte an, dass jene Medien, die heute gegen vermeintlich vorgesehene Überwachungsmaßnahmen anschreiben, schon morgen den Staat dafür kritisieren würden, seine Kinder nicht hinreichend zu schützen.

Mehrere MS drückten ihr Bedauern aus, keine bessere Lösung gefunden zu haben (FRA: „Wir sind eine Geisel des Datenschutzes und müssen einem Weg zustimmen, den wir eigentlich für nicht ausreichend erachten, nur weil uns nichts anders übrigbleibt“; weniger drastisch auch ESP, HUN, IRL, EST). Einige wiesen auf für sie wichtige Punkte hin, ohne dass sich hierzu ein einheitliches Bild ergeben hätte. Ich unterstützte den DNK Vorgehensvorschlag und betonte u.a. die große Bedeutung des EU-Zentrums.

Abschließend schlussfolgerte Vorsitz, dass Einvernehmen zur vorgeschlagenen neuen Stoßrichtung bestehe. DNK PRÄS werde den vorliegenden Rechtstext entsprechend überarbeiten und schnellstmöglich vorlegen.

II. Handlungsempfehlungen

Wir sollten DNK PRÄS weiterhin unterstützen und dabei schon aus Zeitgründen aktiv dafür eintreten, dass über die heute im AStV konsentierten Neuerungen hinaus keine weiteren Änderungen am bereits bekannten Rechtstext vorgenommen werden.

III. Im Einzelnen

Vorsitz skizzierte eingangs entlang Dokument 14032/25 (liegt in Berlin vor) das bisherige, erfolglose Vorgehen und den infolgedessen unterbreiteten Vorschlag, verpflichtende Aufdeckungsanordnungen aus der Verordnung zu streichen und eine dauerhafte Verlängerung der freiwilligen Zusammenarbeit nach der Interim-VO aufzunehmen. Vorsitz betonte dabei, dass man sich mehr erhofft habe und mit dem eigenen Vorschlag nicht glücklich sei, da er polizeiliche Belange und damit den Schutz von Kindern vor sexuellem Missbrauch abschwäche. Die Möglichkeiten seien aber erschöpft.

Einige MS wiesen auf für sie bedeutsame Punkte hin: Es sei wichtig, über die von DNK PRÄS vorgeschlagenen Änderungen hinaus keine weiteren Streichungen vorzunehmen, auch wenn der Mehrwert des Verordnungstexts an manchen Stellen infolge der Herausnahme verpflichtender Aufdeckungsanordnungen geringer ausfalle (FRA). Der Bürokratieaufwand sei möglichst gering zu halten (HUN). Eine Pflicht zur Aufdeckung von Missbrauchsdarstellungen solle zumindest für öffentlich zugängliche Webseiten beibehalten werden (ESP, HUN; ebenso KOM; ablehnend aber DNK PRÄS unter Hinweis auf damit einhergehende neue Fragen und infolgedessen drohenden weiteren Zeitverlusts).

Ich unterstützte den DNK Vorgehensvorschlag. DEU messe der Bekämpfung der Kinderpornographie höchste Priorität bei, eine Verstetigung der rechtlichen Grundlage bei Beachtung von Grundrechten sei von großer Bedeutung. Die Einrichtung des EU-Zentrums werde einen wichtigen Mehrwert leisten. DNK PRÄS und KOM wiesen daran anknüpfend ausdrücklich darauf hin, dass das EU-Zentrum auch ohne verpflichtende Aufdeckungen einen Mehrwert biete, etwa beim Risikomanagement, bei der Entwicklung technischer Maßnahmen zur Risikominimierung, bei der Entgegennahme von Hashwerten und der Einstufung des entsprechenden Bildmaterials als kinderpornographisch, bei der Prävention und bei der Opferbetreuung. Längerfristig sei es zudem von Vorteil, eine europäische Unabhängigkeit vom in den USA angesiedelten NCMEC zu erreichen.

Weitere Wortmeldungen blieben sehr kurz: EST unterstütze das DNK Vorgehen ausdrücklich. CZE gab an, aufgrund der neuen Regierung keine Position zu haben. LUX und SWE bekannten sich zum Kindesschutz und gaben an, sich nach Vorlage des Rechtstextes näher zu äußern.

Max Schrems ist eigentlich schwer aus der Ruhe zu bringen. Der Jurist aus Österreich zerrte unter anderem Facebook vor Gericht, treibt Datenschutzbehörden vor sich her und brachte vor dem Europäischen Gerichtshof gleich zwei transatlantische Datenabkommen zu Fall. Doch bei einer spontan anberaumten Pressekonferenz am Montagmorgen merkt man selbst ihm eine gewisse Fassungslosigkeit an.

Noch vor wenigen Wochen war der Gründer der Nichtregierungsorganisation noyb auf Einladung der Europäischen Kommission in Brüssel. Die Meinung bei einem Treffen zur Zukunft der Datenschutzgrundverordnung (DSGVO) war einhellig, so erzählt es Schrems: Es gibt Reformbedarf, aber der müsse sorgfältig austariert werden. Ein für 2026 geplanter Fitness-Check sei der richtige Rahmen.

Noch Anfang November gingen deshalb alle Beobachter:innen davon aus, dass die DSGVO im geplanten Gesetz zum „digitalen Omnibus“ nicht wesentlich angefasst wird. Mit dem Paket will die Kommission Teile ihrer Digitalregulierung vereinfachen.

Im Laufe der vergangenen Woche dann kocht die Brüsseler Gerüchteküche. Die Anzeichen verdichten sich, dass die Kommission am 19. November überraschend weitreichende Änderungen vorschlagen wird. Am Freitag platzt die Bombe: Wir veröffentlichen die Entwürfe der Kommission, die belegen, dass die Kommission eine Reform mit der Abrissbirne plant.

„Das wäre der extremste Angriff auf die Privatsphäre der Europäer:innen im Zeitalter der DSGVO“, schreibt Schrems in einer Pressemitteilung. „Im Kern handelt es sich um einen massiven Deregulierungsversuch, der 40 Jahre europäische Grundrechtsdoktrin über den Haufen wirft.“

Freifahrtschein für Werbe-Tracking und Datenhändler

Nach der Lektüre des ersten Entwurfs sei klar, dass der Schaden für die DSGVO riesig wäre, so Schrems weiter. Dem Gesetz, das die Europäische Kommission selbst gerne als weltweiten Goldstandard im Datenschutz feiert, drohe ein „Tod durch 1.000 Schnitte“. Große Teile des Entwurfs würden gegen europäische Konventionen, die Charta der Grundrechte und die ständige Rechtsprechung des Europäischen Gerichtshofs verstoßen.

Das wohl größte Schlupfloch könnte laut noyb durch eine Neudefinition dessen entstehen, was als personenbezogenes Datum zu verstehen und somit von der DSGVO erfasst sei. Weitgehend ausgenommen werden sollen nämlich offenbar pseudonymisierte Daten, also solche, bei denen Firmen die Daten nicht einem Namen zuordnen, sondern einem Pseudonym wie „user12473“ oder einer ID aus einem Tracking-Cookie. Die EU-Kommission wolle hier einen „subjektiven Ansatz“ einführen, bei dem Daten nicht mehr als personenbezogen gelten, wenn ein Unternehmen die Person hinter dem Pseudonym nicht identifizieren könne.

Erst vor wenigen Tagen hatte eine Recherche von netzpolitik.org mit internationalen Partnermedien demonstriert, wie leicht sich aus pseudonymisierten Daten metergenaue Bewegungsprofile erstellen lassen. Das Rechercheteam erhielt von Datenhändlern kostenlos Datensätze mit 278 Millionen Standortdaten aus Belgien. Die Daten enthalten weder Namen noch Telefonnummern, sondern nur pseudonyme Identifier, und doch war es möglich, mit den Daten das Leben von Spitzenpersonal der Europäischen Union auszuspionieren.

Während sich die EU-Kommission besorgt über die Recherchefunde äußerte und neue Sicherheitshinweise für ihre Beamten veröffentlichte, würde ihr Vorschlag für den digitalen Omnibus die aufgedeckte Praxis legalisieren, so Schrems. „Dies würde bedeuten, dass ganze Industriezweige, die mit Pseudonymen oder zufälligen ID-Nummern arbeiten, nicht mehr (vollständig) von der DSGVO abgedeckt wären. Dies könnte für fast alle Bereiche des Online-Trackings, der Online-Werbung und die meisten Datenbroker gelten.“

Wildcard für KI

Weiter kritisiert noyb eine mögliche „DSGVO-Wildcard“ für KI-Systeme, von der insbesondere große Tech-Konzerne wie Google, Meta, Microsoft oder OpenAI profitieren würden. Denn nicht nur das Training, auch der Betrieb von KI-Systemen mit personenbezogenen Daten könnte dann mit dem „berechtigten Interesse“ gerechtfertigt werden.

„Das bedeutet, dass eine Hochrisikotechnologie, die mit den persönlichsten Gedanken und sensiblen Daten der Menschen gespeist wird, im Rahmen der DSGVO ein generelles ‚OK‘ erhält. Gleichzeitig bleibt jede herkömmliche Datenbank oder Überwachungskamera streng reguliert“, so noyb.

Die DSGVO sieht ein solches Interesse als Rechtsgrundlage zwar grundsätzlich vor, bislang ist aber umstritten, ob es für KI-Systeme anwendbar ist. Im Rahmen der Abwägung mit den Interessen der betroffenen Personen sollen Betreiber nach den Ideen der Kommission bestimmte „Schutzmaßnahmen“ ergreifen. Es wird jedoch nicht näher definiert, wie diese aussehen.

Der einzige angebliche Schutz sei ein Widerspruchsrecht, das in der Praxis jedoch scheitern werde, analysiert noyb. Nutzer:innen müssten „hunderte Unternehmen ausfindig machen und einzelne Formulare ausfüllen“. Widersprüche und eine mögliche Informationspflicht könnten die Unternehmen kaum umsetzen.

Betroffenenrechte unter Druck

Unter Druck ist außerdem eine zentrale Errungenschaft der DSGVO: die Betroffenenrechte. Anträge auf Auskunft, Berichtigung oder Löschung von Daten sollen künftig abgelehnt werden können, wenn sie „missbräuchlich“ seien. Die Ausübung dieser Rechte soll nur noch gestattet sein, wenn sie „Datenschutzzwecken“ dient.

„Im Umkehrschluss bedeutet dies, dass zum Beispiel ein Arbeitgeber einen Antrag auf Auskunft als ‚missbräuchlich‘ ablehnen könnte, wenn ein Arbeitnehmer diesen im Rahmen eines Arbeitskonflikts über unbezahlte Arbeitsstunden stellt – zum Beispiel, um einen Nachweis über die geleisteten Arbeitsstunden zu erhalten.“ Das Gleiche würde für Journalist:innen oder Forschende gelten, so noyb.

Massiv eingeschränkt werden soll zudem der Schutz für sensible Daten nach Artikel 9 der DSGVO. Dazu zählen beispielsweise Daten zu ethnischer Herkunft, sexueller Orientierung, politischer oder gewerkschaftlicher Zugehörigkeit sowie Gesundheitsdaten. Entgegen der Rechtsprechung des Europäischen Gerichtshofs will die Kommission den Schutz nur dann gewähren, wenn solche sensiblen Informationen „direkt offenbart“ werden, kritisiert noyb.

Nicht mehr geschützt wären Menschen, bei denen etwa auf die Zugehörigkeit zu bestimmten Gruppen geschlossen werde. „Die Kommission scheint sich vor allem um Unternehmen zu kümmern, die solche Daten für das KI-Training nutzen wollen.“

Kritisch sieht noyb auch erweiterte Befugnisse, Daten auf Endgeräten zu speichern und auszulesen. Tracking-Cookies könnten dann statt wie bisher nicht mehr nur nach Einwilligung, sondern zum Beispiel ebenfalls auf Basis des berechtigten Interesses platziert werden. Auch die Zwecke, zu denen Daten von Geräten ausgelesen werden dürfen, sollen erweitert werden. Zu den Verarbeitungen auf der „weißen Liste“ würden nun auch „aggregierte Statistiken“ und „Sicherheitszwecke“ landen. Das sei zwar grundsätzlich verständlich, könne Unternehmen jedoch zu vermeintlichen Sicherheitszwecken die komplette Durchleuchtung von Privatgeräten erlauben.

Kritik am verstolperten Vorstoß

Alles in allem helfe der Entwurf nicht wie versprochen „kleinen Unternehmen“, sondern komme „wieder einmal hauptsächlich ‚Big Tech‘ zugute“, so das Fazit von Max Schrems und noyb. Der Entwurf sei außerdem „auch sehr schlecht formuliert“, so Schrems. Auch andere Jurist:innen hatten in den vergangenen Tagen die juristische Qualität bemängelt.

Erklärt werden kann dies wohl unter anderem durch massiven Zeitdruck. „Brüsseler Insider berichteten, dass bestimmte Referate nur fünf (!) Arbeitstage Zeit hatten, um einen über 180-seitigen Gesetzesentwurf zu kommentieren“, so Schrems. Ein Teil der EU-Kommission scheint alle anderen in Brüssel überrennen zu wollen.

„Sie scheinen alle Regeln der Gesetzgebung zu missachten, mit potenziell schrecklichen Folgen. Es ist besorgniserregend, wie sich Trumpsche Gesetzgebungspraktiken in Brüssel durchzusetzen scheinen.“

Danke, Deutschland?

Motiviert werde die Kommission offenbar durch einen Tunnelblick auf den KI-Hype und der Sorge, Europa könne abgehängt werden, mutmaßt Schrems. „Bei diesem Vorschlag wird übersehen, dass die meisten Datenverarbeitungen nicht auf KI basieren.“ Eine Änderung, die KI „befreien“ würde, hätte jedoch massive unbeabsichtigte Folgen für viele andere Bereiche der DSGVO. Schrems weiter: „Auch der Schutz von Gesundheitsdaten, Minderheiten oder Arbeitnehmer:innen wäre durch diesen Entwurf vorbei. Große Teile der Online-Werbebranche könnten aufgrund der vorgeschlagenen Änderungen ihre Pflichten nach der DSGVO umgehen.“

Verantwortlich macht der Jurist dafür auch die deutsche Bundesregierung. Diese hatte in einem Arbeitspapier, das wir kürzlich veröffentlicht haben, weitreichende Einschnitte bei der DSGVO angeregt. Die EU-Kommission sei auf diesen Zug aufgesprungen, obwohl zuvor eigentlich sowohl Interessengruppen als auch die Mitgliedstaaten ausdrücklich darum gebeten hätten, die DSGVO nicht wieder zu öffnen.

Dazu Schrems: „Deutschland hat traditionell eine extreme Anti-DSGVO-Position in Europa eingenommen. Es scheint einfacher zu sein, ein EU-Gesetz für die deutschen Probleme mit der Digitalisierung verantwortlich zu machen, als die Dinge auf nationaler Ebene zu regeln.“

Europol forciert ihre Kooperation mit Tech-Unternehmen aus den USA. Die Bürgerrechtsorganisation Statewatch kritisiert diese Allianz in einem Forschungsbericht als intransparent und Quelle massiver Interessenkonflikte. Die Kooperation ist demnach derart eng, dass Microsoft-Angestellte bereits eigene Arbeitsplätze in der Zentrale der EU-Polizeibehörde in Den Haag haben. Ein Europol-Beamter habe Firmen auf dem InCyber Forum, das in diesem Jahr in Lille, Frankreich, veranstaltet wurde, zudem explizit dazu aufgerufen, unternehmenseigene Daten direkt über ein neues Cyber Intelligence Gateway weiterzuleiten, um die Koordination zu verbessern. Basis für diese Entwicklung ist die umstrittene Erweiterung des Europol-Mandats 2022, die den Datenaustausch mit privaten und öffentlichen Stellen vereinfacht, Big-Data-Analysen ermöglicht und den Einsatz KI-gestützter Ermittlungsinstrumente vorantreibt.

Europol verweist laut der Analyse häufig auf „Geschäftsgeheimnisse“ oder „Datenschutz“, um Details über Verträge oder Lizenzierungen zurückzuhalten. Ein besonders kontroverses Beispiel ist die mehrjährige Nutzung der Big-Data-Plattform Gotham von Palantir. Obwohl die auch hierzulande umkämpfte Software laut Statewatch zur Basis zahlreicher Instrumente für vorausschauende Polizeiarbeit und Überwachung bei Europol gehört, habe das Amt Presseanfragen dazu abgeblockt. Von 69 Dokumenten zur Palantir-Zusammenarbeit seien lediglich zwei freigegeben, obwohl Europol nach dem Bruch sogar rechtliche Schritte gegen die US-Firma in Betracht gezogen habe. Auch die Gesichtserkennungsfirma Clearview AI, an der Palantir-Mitbegründer Peter Thiel beteiligt ist, präsentierte ihre Technologie bei Europol. Der EU-Datenschutzbeauftragte habe aber explizit gefordert, keine Dienste von Clearview in Anspruch zu nehmen, da dies wahrscheinlich gegen die Europol-Verordnung verstoßen würde.

„Wer ist wer“ der Überwachungsindustrie

Zunehmend problematisch erscheint auch das „Drehtür“-Phänomen, wonach Mitarbeiter der Behörde gerne in die Wirtschaft wechseln. Diese Gefahr dürfte sich noch verschärfen, da die EU-Kommission eine Verdoppelung der Europol-Stellen anstrebt. Ein Fall betrifft einen Ex-Cybercrime-Spezialisten, der unmittelbar nach seinem Ausscheiden 2023 zu Maltego Technologies wechselte. Europol weigerte sich, nähere Angaben dazu zu machen. Ein weiteres Unternehmen in Europols Dunstkreis ist Cellebrite, ein israelischer Tech-Riese, der Software zum Extrahieren von Daten aus Mobiltelefonen liefert. Seine Programme wurden in der Vergangenheit etwa zur Überwachung von Journalisten und Aktivisten verwendet. Die Tatsache, dass der Leiter des europäischen Vertriebs von Cellebrite zuvor in leitender Position beim Staatstrojaner-Entwickler NSO Group (Pegasus) tätig war, unterstreicht das Konfliktpotenzial solcher Allianzen.

Zentraler Schauplatz dieser Annäherung sind die jährlich stattfindenden „Research and Industry Days“. Dabei handelt es sich um eine 2024 von der Europol eingeführte Plattform, bei der Dutzende von Tech-Firmen und Verbänden ihre KI-basierten Überwachungs- und Datenanalysetools präsentieren. Die dabei vorgestellten Technologien reichen von Systemen zum Ausspähen von Mobiltelefonen von Asylsuchenden bis hin zu fortgeschrittenen Werkzeugen wie dem „Voice Inspector“ zur Stimmerkennung, Mitteln gegen Deepfakes oder Drohnen-Schnittstellen. Solche Veranstaltungen sicherten den Teilnehmern ein ungewöhnlich hohes Maß an Vertraulichkeit zu, monieren die Forscher. Sie werten diese Praxis als „präventive Garantie gegen die Freigabe von Informationen“, was die Rechenschaftspflicht und die öffentliche Kontrolle der zunehmenden „privat-öffentlichen Polizeiarbeit“ bei Europol zusätzlich erschwere.

()