Nach mehr als drei Jahren haben sich die Vertreter:innen der EU-Länder im Rat auf eine gemeinsame Position zur „Chatkontrolle“ geeinigt. Nachdem das Parlament schon 2023 eine Position fand, geht die Verordnung nun in den Trilog, die Verhandlungen zwischen Kommission, Parlament und Rat.
Die Verordnung enthielt mit der verpflichtenden Chatkontrolle eines der gefährlichsten Überwachungsprojekte überhaupt, das vertrauliche, private und verschlüsselte Kommunikation aufs Spiel setzt. Bei derzeitigem Stand scheint zumindest diese Gefahr gebannt. Aber die Verordnung enthält weitere Probleme.
Wir erklären, wie es auf dem Weg zum fertigen Gesetz jetzt weiter geht.
Die EU-Kommission hat im Mai 2022 einen über 130-seitigen Gesetzentwurf vorgelegt. Erklärtes Ziel dessen ist es, Darstellungen sexualisierter Gewalt an Kindern und Jugendlichen zu bekämpfen. Dafür will die Kommission Folgendes:
Das EU-Parlament hat seine Position bereits im November 2023 festgelegt. Sie richtet sich in wichtigen Punkten gegen den Vorschlag der Kommission:
Bei der Parlamentsposition ist es wichtig zu wissen, dass sie vor der letzten Europawahl entstand. Seitdem haben sich die Mehrheitsverhältnisse geändert, es gab schon Anzeichen, dass sich die Position des Parlaments ändern könnte.
Die EU-Staaten haben sich im November 2025 nach jahrelangen Verhandlungen auf ihre Position geeinigt.
Bei informellen Trilog verhandeln Kommission, Rat und Parlament der EU. Ziel ist es, sich zwischen den drei EU-Organen auf eine gemeinsame Position zu einem Gesetzesvorhaben zu einigen. In der Regel haben sich Rat und Parlament vorher auf ihre jeweils eigenen Standpunkte zu einem Gesetzesvorschlag der Kommission geeinigt und gehen mit dem entsprechenden Verhandlungsmandat in die Gespräche.
Wichtiger Bestandteil des Trilogs sind die sogenannten Vier-Spalten-Dokumente. In den ersten drei Spalten sind die einzelnen Positionen der EU-Organe verzeichnet, die vierte Spalte enthält die aktuelle Einigung – sie wird beständig aktualisiert.
Bei den informellen Trilog-Verhandlungen gibt es erhebliche Transparenzprobleme, weil sie hinter verschlossenen Türen stattfinden. Die frühere EU-Bürgerbeauftragte Emily O’Reilly rügte etwa nach einer Beschwerde im Jahr 2023 das Parlament, weil es die wichtigen Vier-Spalten-Dokumente auf Anfrage von Nichtregierungsorganisationen viel zu spät herausgab. Sie forderte, dass diese proaktiv veröffentlicht werden müssen, damit Bürger:innen Entscheidungen nachvollziehen und sich beteiligen können.
Aus einer Grundrechtsperspektive werden folgende Punkte bei den Verhandlungen besonders wichtig sein:
Es gilt der alte Grundsatz: „Nothing is agreed until everything is agreed“. Das heißt, bis alles geklärt ist, ist nichts in Stein gemeißelt. Im Trilog gibt es nun drei verschiedene Positionen: Die EU-Kommission will die verpflichtende Chatkontrolle nach Anordnung. Das EU-Parlament will verpflichtende Chatkontrolle nach richterlichem Beschluss und begrenzt auf verdächtige Nutzer:innen- und -gruppen, ausgenommen sollen verschlüsselte Kommunikationen sein. Der Rat will eine freiwillige Chatkontrolle, die Anbieter durchführen können, um „Risiken zu mindern“.
Bei einer freiwilligen Chatkontrolle können Dienste-Anbieter Inhalte ohne rechtliche Verpflichtung scannen. Ob Dienste eine Chatkontrolle für alle oder nur manche Nutzer:innnen einführen, ist ihnen überlassen. Ob Dienste-Anbieter ihren Nutzer:innen erlauben, die Chatkontrolle an- oder auszuschalten, ist ihnen ebenfalls überlassen.
Bislang haben Anbieter wie Facebook unverschlüsselte Kommunikation gescannt. Sie überprüfen zum Beispiel, ob in einer Datenbank enthaltene Hashes verschickt werden. Die US-Organisation NCMEC etwa sammelt solche Hashes zu bekannten Darstellungen sexualisierter Gewalt. Viele Hinweise zu Besitz oder Verbreitung entsprechender Inhalte, welche die Polizei erhält, stammen aus der freiwilligen Chatkontrolle.
Egal ob ein Anbieter die Inhalte seiner Nutzer:innen freiwillig oder nach einer Anordnung scannt: Es verletzt das Recht auf vertrauliche Kommunikation. Das verstößt unter anderem gegen die Regeln aus der ePrivacy-Richtlinie.
Der EU-Datenschutzbeauftragte forderte bei Ausnahmen von diesem Grundsatz „klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme“ sowie Mindesterfordernisse.
Auch bei der freiwilligen Chatkontrolle kann es zu Fehlern kommen. Bekannt wurde der Fall eines Vaters, der eine Mail an den Arzt seines Sohnes schickte, die ein Foto des Genitalbereiches des erkrankten Kindes enthielt. Auf den Google-Servern schlug ein Erkennungsmechanismus an. Ein falscher Verdacht: Die Polizei ermittelte gegen den Vater, sein Google-Account samt aller Daten wurde gelöscht.
Das schlimmste Element des Kommissionsvorschlags, die verpflichtende Chatkontrolle für ganze Dienste, auch für verschlüsselte Kommunikation, wollen weder Parlament noch Rat. Dass diese Form der Chatkontrolle abgewehrt wurde, ist Menschen in Wissenschaft, Wirtschaft, Politik, Medien und Zivilgesellschaft zu verdanken. Sie haben zusammen an unterschiedlichen Stellen die Gefährlichkeit der Chatkontrolle sichtbar gemacht, dabei Bewusstsein geschaffen und einen öffentlichen Aufschrei ausgelöst.
Die Sache ist aber noch lange nicht ausgestanden: Es gibt weiterhin zahlreiche problematische Teile der Verordnung wie Netzsperren, freiwillige Chatkontrolle und Alterskontrollen, welche die Anonymität im Netz gefährden. Und es gibt neue Anläufe, um an verschlüsselte Kommunikation heranzukommen wie „Protect EU“.
Ein Schlüssel sind Information und Aufklärung: Erkläre in Deinem Umfeld in möglichst einfachen Worten und Bildern, was genau an diesen komplexen technischen Verfahren und Überwachungsprojekten gefährlich ist. Bei der Chatkontrolle war die Stärke, dass sachlicher Widerspruch in ungeahnter Breite von den unterschiedlichsten Akteur:innen und Allianzen vorgetragen wurde. Das macht Eindruck, wenn nicht nur die üblichen Verdächtigen „Alarm“ rufen. Eine solche gesellschaftliche Breite aufzubauen, liegt an jedem von uns und unseren Netzwerken.
Darüber hinaus kann man sich in Organisationen und Initiativen engagieren oder diesen Geld spenden, Petitionen unterschreiben, offene Briefe initiieren, Infoveranstaltungen machen, Abgeordnete anrufen, Aufkleber drucken oder auf der Straße protestieren gehen. Es gibt unzählige Möglichkeiten.
Sieben Werkzeuge für den Online-Rabatz
Es ist wichtig, Kinder und Jugendliche vor sexualisierter Gewalt zu schützen. So sind Anlaufstellen für Kinder etwa im Netz möglich, damit sie einfach melden können, wenn sie sich beispielsweise in einem Spiele-Chat unwohl fühlen, weil ein Erwachsener sie bedrängt.
Viele Präventionsmöglichkeiten setzen jedoch in der analogen Welt an, damit es gar nicht erst zu den Taten kommt. Denn ein Großteil sexualisierter Gewalt findet im sozialen Nahfeld statt, also etwa in Familien, Schulen, Sportvereinen und an anderen Orten, wo sich Kinder aufhalten. Hier braucht es Schutzkonzepte, damit Erwachsene ihre Vertrauensverhältnisse zu Kindern nicht so leicht ausnutzen können und diese Ansprechpersonen haben.
Ein wichtiger Pfeiler der Präventionsarbeit sind auch Sozialarbeiter:innen und Jugendämter, damit jemand hinschauen und handeln kann, wenn ein Kind in Not gerät. Die sind jedoch unterbesetzt und nicht ausreichend finanziert.
Falls es zu sexualisierter Gewalt gekommen ist und Darstellungen davon im Netz verbreitet werden, gilt seit Jahren neben der konsequenten Strafverfolgung das Löschen der Inhalte als Erfolgsrezept. Fast alle Hosting-Anbieter sind dabei schnell und kooperativ. Es braucht eine Verpflichtung für Behörden, bei einem Fund von Gewaltdarstellungen immer auf deren Entfernung hinzuwirken, damit sich die Inhalte nicht weiter verbreiten.
Liebe Leser:innen,
das Wort des Jahres ist „KI-Ära“. Das Thema Künstliche Intelligenz „ist aus dem Elfenbeinturm der wissenschaftlichen Forschung herausgetreten und hat die Mitte der Gesellschaft erreicht“, begründet die Gesellschaft für deutsche Sprache ihre Wahl.
Die Bundesdruckerei hockt derweil in ihrer ganz eigenen Abgeschiedenheit. Sie setzt den Datenatlas um, der „souveräne Datenkatalog für die Bundesverwaltung“. Mitarbeitende verschiedener Ministerien und Behörden sollen hier nachschlagen können, wo welche Daten liegen.
Eigentlich eine gute Sache. Doch das Projekt ist offenbar Lichtjahre von der technischen Gegenwart, geschweige denn von irgendeiner „KI-Ära“ entfernt. Zu diesem Schluss kommt zumindest der Wissenschaftler David Zellhöfer in einem Gutachten, über das meine Kollegin Esther diese Woche berichtet hat. Demnach biete der Datenatlas weniger Funktionen als Datenbanken aus dem Jahr 1986, so das markige Urteil. Damals war das Wort des Jahres übrigens „Tschernobyl“. So lange ist das her.
Auf Platz 2 kam vor knapp vierzig Jahren das Wort „Havarie“, was so viel wie Fehler oder Schaden bedeutet. Den will die Bundesdruckerei nun offenbar noch vergrößern. Als wir sie mit den Ergebnissen des Gutachtens konfrontieren, schrieb die bundeseigene GmbH zurück, gegebenenfalls rechtliche Schritte gegen Zellhöfer einzuleiten.
Zellhöfer nahm sein Gutachten daraufhin offline, um sich rechtlich abzusichern. „Ich war unmittelbar eingeschüchtert“, sagte er gegenüber netzpolitik.org, „obwohl die Antwort der Bundesdruckerei in keiner Weise sachlich nachvollziehbar ist.“
Inzwischen ist das Gutachten wieder abrufbar. Und Zellhöfer kann mit mehr Humor auf die Sache schauen. Positiv gesehen könne der Datenatlas auch „als Projekt eines Retro-Computing-Enthusiasten“ durchgehen, sagt er.
Ein bisschen mehr Humor wünsche ich auch der Bundesdruckerei. Dann trägt sich die Atlas-Last gleich leichter.
Habt ein schönes Wochenende!
Daniel
Am Freitagvormittag gibt es offenbar erneut Probleme beim CDN-Anbieter Cloudflare. Verschiedene Webseiten sind nicht verfügbar – sie liefern lediglich einen HTTP-Fehler 500 aus. Die Ursache ist unklar, der Anbieter spricht von „API-Problemen“.
Weiterlesen nach der Anzeige
Fehler 500 beim Besuch von cloudflare.com
Stichproben einiger Webseiten wie cloudflare.com, aber auch die beliebten Störungsmelder downdetector.com und allestoerungen.de sind fehlerhaft oder komplett defekt: Mal fehlt die Startseite komplett, in anderen Fällen lediglich die per Cloudflare-CDN ausgelieferten Assets wie Bilder und Stylesheets
Cloudflares Statusseite hingegen ist, anders als beim vorherigen Ausfall im November, noch immer verfügbar. Sie spricht von Fehlern bei der Cloudflare API und dem Dashboard. „Customers using the Dashboard / Cloudflare APIs are impacted as requests might fail and/or errors may be displayed.“
Wie Cloudflare nun erläuterte, handelte es sich beim Ausfall um eine Auswirkung der kürzlich bekannt gewordenen kritischen „React2Shell“-Sicherheitslücke im React-Framework. Das Unternehmen habe für die Web Application Firewall, die neben Kundendomains offenbar auch die eigene Webseite schützt, eine Änderung eingespielt, um vor CVE-2025-55182 zu schützen. Was genau schiefgegangen sei, werde man später bekanntgeben, so das Unternehmen. Ein Cyberangriff liege nicht vor.
Weiterlesen nach der Anzeige
Der Cloudflare-eigene DNS-Resolver 1.1.1.1 war für viele Telekom-Kunden offenbar am Abend des 3. Dezember nicht erreichbar. Wie Betroffene auf Reddit beklagten, führte das zu Internetausfällen – weil auch die Alternative 1.0.0.1 nicht funktionierte. Mittlerweile scheint diese Störung jedoch behoben, die Ursache ist unklar.
Am Abend des 3. Dezember erreichte keiner der 150 Messpunkte des Monitoringnetzes „RIPE Atlas“ im Netz der Telekom den DNS-Server 1.1.1.1.
(Bild: Reddit-User lordgurke)
Update
05.12.2025,
10:16
Uhr
Cloudflare hat laut eigenen Angaben Problembehebungen vorgenommen und beobachtet die Störung weiter.
Update
05.12.2025,
11:08
Uhr
Erste Fehleranalyse seitens Cloudflare ergänzt.
(cku)
Kaum ist öffentlicher Exploitcode in Umlauf, gibt es erste Berichte zu Angriffen auf React-Server. Sicherheitspatches sind verfügbar.
Weiterlesen nach der Anzeige
Die „kritische“ Lücke (CVE-2025-55182 CVSS Score 10 von 10) ist erst seit wenigen Tagen bekannt und betrifft ausschließlich React-Server. Attacken sollen aus der Ferne und ohne Authentifizierung möglich sein. Durch das Versenden von präparierten HTTP-Anfragen können Angreifer Schadcode auf Systeme schieben und diese so vollständig kompromittieren.
Die Entwickler versichern, die Schwachstelle in den React-Ausgaben 19.0.1, 19.1.2 und 19.2.1 geschlossen zu haben.
Wie aus einem Beitrag eines Sicherheitsforschers auf X hervorgeht, ist mittlerweile Exploitcode in Umlauf. Im gleichen Zeitraum meldet das IT-Sicherheitsteam von Amazon AWS bereits die ersten Attacken. Sie geben in einem Beitrag an, dass ihre AWS-Services von der Lücke nicht betroffen sind.
Die AWS-Sicherheitsforscher ordnen die Attacken staatlichen-chinesischen beziehungsweise chinafreundlichen Bedrohungsakteuren wie Earth Lamia und Jackpot Panda zu. Diese Gruppen haben weltweit primär staatliche Einrichtungen und kritische Infrastrukturen aus dem Energiesektor im Visier.
Dabei sollen die Gruppen äußerst professionell und zügig vorgehen. Dafür nutzen sie den Forschern zufolge unter anderem automatisierte Scan- und Angriffstools. Außerdem verfeinern sie ihre Angriffstechniken stetig, um die Erfolgsquote ihrer Attacken zu steigern. In welchem Umfang die Angriffe ablaufen und ob sie territorial begrenzt sind, ist derzeit nicht bekannt.
Weiterlesen nach der Anzeige
Admins sollten umgehend handeln und ihre React-Server durch die Sicherheitspatches schützen. In ihrem Beitrag führen die Sicherheitsforscher Parameter (Indicators of Compromise, IoC) auf, an denen Admins bereits attackierte Systeme erkennen können.
(des)
Illustrierte Reise nach New York City › PAGE online
Jetzt patchen! Erneut Attacken auf SonicWall-Firewalls beobachtet
Aus Softwarefehlern lernen – Teil 3: Eine Marssonde gerät außer Kontrolle
Top 10: Die beste kabellose Überwachungskamera im Test
Fake It Untlil You Make It? Trifft diese Kampagne den Nerv der Zeit? › PAGE online
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
SK Rapid Wien erneuert visuelle Identität
Schluss mit FOMO im Social Media Marketing – Welche Trends und Features sind für Social Media Manager*innen wirklich relevant?
