Der Trilog zur Verlängerung der temporären, freiwilligen Chatkontrolle 1.0 ist vorerst gescheitert, die Ausnahmeregelung würde damit am 3. April auslaufen. Diesem Scheitern ging eine Parlamentsabstimmung in der vergangenen Woche voraus. Dabei hatten die Abgeordneten zwar einer Verlängerung zugestimmt, aber gleichzeitig Einschränkungen beschlossen: Das Scannen soll nicht anlasslos sein, sondern nur zielgerichtet bei bestimmten Nutzer:innen stattfinden, wenn ein Verdacht besteht.

Diese Variante wurde allerdings vom Rat im Trilog abgelehnt, denn die Länder wollen die Chatkontrolle 1.0 anlasslos –  also ohne Verdacht  – weiterführen. Ein solches verdachtsloses Scannen ist seit Jahren in der Kritik, unter anderem durch Bürgerrechtsorganisationen und den europäischen Datenschutzbeauftragten.

Durch ein eingestuftes Ratsprotokoll vom 13. März, das wir im Volltext veröffentlichen, wird deutlich, dass die EU-Mitgliedstaaten Kompromisse bei der temporären freiwilligen Chatkontrolle 1.0 offenbar als eine Art Vorentscheidung für die weitaus wichtigeren Verhandlungen zur CSA-Verordnung und damit zu einer permanenten Regelung (Chatkontrolle 2.0) sehen.

Angst vor Kompromissen

Laut dem Protokoll vom 13. März bat zum Beispiel der Vorsitz die Mitgliedstaaten für die Verhandlungen „um Flexibilität hinsichtlich des Ausschluss eines Zugriffs auf Ende-zu-Ende Verschlüsselung (E2EE) und der Herausnahme von Grooming aus dem Anwendungsbereich“. Ein Kompromiss in diesem Bereich „würde sich nicht allzu negativ auf die Verhandlungen zur CSA-Verordnung auswirken“, so das Protokoll weiter.

In einem eingestuften Protokoll vom 10. März, das wir im Volltext veröffentlichen, wird auch auf den Zusammenhang von Interimsverordnung (Chatkontrolle 1.0) und der CSA-Verordnung (Chatkontrolle 2.0) verwiesen.

Der zypriotische Vorsitz ging zudem laut den Protokollen schon vor den Trilog-Verhandlungen davon aus, dass diese aufgrund der Ratsposition scheitern würden. Nach dem Scheitern zeigten sich Birgit Sippel, die Berichterstatterin des Parlaments, wie auch die Ratsvertreter enttäuscht von der Haltung ihrer Verhandlungspartner.

Konstantin Macher von der Digitalen Gesellschaft sieht vor allem den Rat in der Verantwortung: „Der Rat hat die Verhandlungen aus politischem Kalkül bewusst platzen lassen.“ Das sei unverantwortlich. „Damit setzt sich ein bekanntes Muster bei der Chatkontrolle fort: zielgerichtete Maßnahmen zum Kinderschutz wären längst möglich, werden aber durch das Beharren der Regierungen auf Maximalforderungen und anlassloser Massenüberwachung verhindert“, so Macher weiter.

Chatkontrolle am 26. März wieder im Parlament

Für Verwirrung sorgt zudem, dass der Punkt „Freiwillige Chatkontrolle“ am 26. März wieder im Europaparlament auf der Agenda steht und dann offenbar erneut über die Änderungsanträge vom 11. März abgestimmt werden soll. Auch wenn es sich um ein ordnungsgemäßes Verfahren handelt, ist der Vorgang zumindest ungewöhnlich, bestätigen Mitarbeiter von Abgeordneten verschiedener Fraktionen gegenüber netzpolitik.org.

Es sind nun verschiedene Szenarien denkbar:

Wenn es vor der Sitzung einen Antrag und eine Mehrheit dafür gibt, dass der Punkt von der Tagesordnung genommen wird, dann wäre die Chatkontrolle 1.0 beerdigt.

Sollte die Abstimmung auf der Tagesordnung bleiben, dann würde erneut über die Änderungsanträge abgestimmt, auch über den wichtigen Änderungsantrag 5, der die Chatkontrolle 1.0 auf Verdächtige beschränkt. Sollte auch nur ein Änderungsantrag im Plenum angenommen werden, dann könnte es zu weiteren Trilogverhandlungen kommen. Ein derartiges Prozedere ist so selten, dass auch langjährige Mitarbeiter von Abgeordneten so etwas noch nicht erlebt haben. Konstantin Macher kritisiert, dass überhaupt erneut abgestimmt werden soll: „Neu abstimmen lassen, weil einem das Ergebnis nicht passt, wäre zutiefst undemokratisch. Das Parlament darf sich nicht auf solche Machtspielchen einlassen, das rüttelt sonst am Vertrauen in die Politik.“

Nur wenn alle Änderungsanträge im Parlament durchfallen, wäre die Chatkontrolle-Verlängerung in der Version der EU-Kommission angenommen. Dieses Szenario ist allerdings sehr unwahrscheinlich.

Dokument 1 in Volltext:

• Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
• Datum: 13. März 2026
• An: Auswärtiges Amt
• Kopie:BMI, BMJV, BKAmt, BMBFSFJ, BMF, BMWE, BMWK
• Betreff: AStV-2 am 13.03.2026 – TOP 33 – Regulation amending Regulation (EU) 2021/1232 as regards the extension of its period of application
• Zweck: Zur Unterrichtung
• Geschäftszeichen: 350.80

I. Zusammenfassung und Wertung

AStV-2 befasste sich am 13.3. erneut mit der Verlängerung der Interims-VO, die zeitlich begrenzte Maßnahmen zur Aufdeckung, Entfernung und Meldung von Material des sexuellen Missbrauchs von Kindern ermöglicht.

CYP RP berichtete aus dem Trilog vom 12. März. Man hab sich noch nicht mit dem EP einigen können. CYP RP habe in den Verhandlungen klar gemacht, dass die MS keiner Einschränkung des Anwendungsbereichs zustimmen könnten. Die Berichterstatterin des EP (MdEP Sippel) habe indes unterstrichen, dass es keine Einigung ohne eine solche Einschränkungen geben könne. Der Rat müsse Kompromisse vorschlagen. EP könne ggf. das Verbot der Übermittlung von Verkehrsdaten sowie die Voraussetzung eines konkreten Verdachts gegen eine Person oder eine Personengruppe fallen lassen. Vors. bat MS um Flexibilität hinsichtlich des Ausschluss eines Zugriffs auf Ende-zu-Ende Verschlüsselung (E2EE) und der Herausnahme von Grooming aus dem Anwendungsbereich. Ein solcher Kompromiss würde sich nicht allzu negativ auf die Verhandlungen zur CSA-Verordnung auswirken.

Alle sich zu Wort meldenden MS brachten mehr oder weniger deutlich ihre Enttäuschung über die Haltung des EP zum Ausdruck. HUN, BEL, SWE, ESP, LVA, SVK, MLT, EST, SVN und ROU waren nicht zu Zugeständnissen beim Anwendungsbereich bereit. Neben uns signalisierten FRA, IRL, LTU, HRV, FIN, LUX und EST, sich bei E2EE bewegen zu können, wobei FRA klar machte, dass man hierfür erst den konkreten Text sehen müsse. Die vom EP vorgelegte Formulierung sei zu breit und könne faktisch dazu führen, dass die Diensteanbieter gar nichts mehr tun könnten. IRL, FRA, LTU und HRV zeigten auch Bereitschaft, sich bei Grooming evtl. zu bewegen, auch wenn dies schwer zu verdauen sei (FRA) und Kinder den Straftätern ausliefere (IRL). AUT und BGR machten deutlich, die Beibehaltung des Ratsmandats zu bevorzugen, sich aber letztlich der Mehrheit nicht verschließen zu wollen, sollte es zu Kompromissen kommen.

CYP RP schlussfolgerte, dass man nicht davon ausgehe, mit dem heute erteilten Mandat eine Einigung beim Trilog am kommenden Montag erzielen zu können. Man werde die MS über den Ausgang informieren.

II. Im Einzelnen

entfällt

Dokument 2 in Volltext

• Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
• Datum: 13. März 2026
• An: Auswärtiges Amt
• Kopie: BMI, BMJV, BKAmt, BMBFSFJ, BMF, BMWE, BMWK
• Betreff: Sitzung der JI-Referent*innen zur CSA-VO am 10. März 2026
• Zweck: Zur Unterrichtung
• Geschäftszeichen: 350.80

I. Zusammenfassung und Wertung

TOP 2 – Proposal for a Regulation amending Regulation (EU) 2021/1232 as regards the extension of its application (6949/26)

Vors erinnerte eingangs, dass es bis zum Auslaufen der Interims-VO nur noch 25 Tage sei. Das Ratsmandat sei klar, aber im LIBE Ausschuss habe es keine Mehrheit für den Bericht der Berichterstatterin gegeben. Diese habe wesentliche Änderungen ggü. dem KOM Vorschlag enthalten. Morgen werde im EP Plenum daher zunächst darüber abgestimmt, ob der Vorschlag der KOM komplett abgelehnt werde. Eine Mehrheit dafür sei aber unwahrscheinlich, da S&D, EVP und Renew gemeinsame Änderungsanträge vorgelegt hätten. Es sei absehbar, dass diesen zugestimmt werde.

Diese Änderungsanträge seien im Bezugsdokument kurz erläutert. Vors. sei sich der Dringlichkeit bewusst und möglicherweise habe man nur noch eine Möglichkeit („one shot“), mit dem EP einen Kompromiss zu finden. Vors. plane daher bei einer positiven Abstimmung im EP einen Trilog am 12. März durchzuführen. Sollte der Rat auf seinem Mandat beharren, werde EP den Vorschlag insgesamt höchstwahrscheinlich ablehnen.

BEL stellte die Frage, inwiefern sich die Beschränkung auf Inhaltsdaten und das Verbot der Übermittlung von Verkehrsdaten wie z.B. IP-Adressen auf die praktische Arbeit auswirke.

KOM machte daraufhin deutlich, dass Berichte ohne Verkehrsdaten lediglich in eine Interpol-Datenbank aufgenommen werden könnten und man dann hoffen müsse, dass dieses Bild irgendwann einmal im Rahmen von anderen Ermittlungen relevant werde. Ohne Verkehrsdaten seien eigenständige Ermittlungen quasi unmöglich. KOM unterstrich zudem, dass der Ausschluss von neuem Material auch KI-generiertes Material beinhalte. Und dessen Zahlen seien ja bekanntlich sprungartig gestiegen. Die Formulierung der Änderungsanträge bzw. E2EE seien sei breit und könnten dazu führen, dass jegliche Kommunikation aus dem Anwendungsbereich herausgenommen werde. Zudem sei in den Änderungsanträgen 1 und 2 ein Widerspruch festzustellen, da ÄA 1 neues Material ausschließe, ÄA2 dieses aber unter bestimmten Umständen wieder zulasse. Problematisch sei auch, dass neues Material in der Interims-VO nicht definiert sei und die Definition in der CSA-VO eine hohe Schwelle vorgebe.

Alle wortnehmenden MS (DEU, IRL, FIN, ESP, NLD, FRA, AUT, LVA und HUN) unterstrichen, dass eine Rechtslücke zu vermeiden sei. Hinsichtlich der Dauer der Verlängerung zeigten sich alle flexibel.

Ich verwies auf die laufende Abstimmung für den morgigen AStV. IRL zeigte sich flexibel bzgl. eine Ausschlusses von E2EE und grooming, aber nicht bzgl. Verkehrsdaten (auch AUT und ESP). FIN formulierte hinsichtlich der Einschränkung des Anwendungsbereichs eine rote Linie. ESP unterstrich, immer für einen weiten Anwendungsbereich geworben zu haben. Auch AUT sprach sich für einen unveränderten Anwendungsbereich aus. FRA äußerte insbesondere Bedenken dahingehend, neues CSAM auszuschließen. Allerdings wolle man am Ende auch nicht „mit nichts“ dastehen. LVA verwies darauf, dass man zur allgemeinen Ausrichtung einen Kabinettsbeschluss habe, den man nicht einfach ändern könne. HUN zeigte das Dilemma auf, dass man entweder nichts habe, oder ein komplett nutzloses Instrument. NLD zeigte sich komplett flexibel.

Auf Nachfrage musste Vors. einräumen, dass sich das Mandat des Rates zur CSA-VO zwar auf die damalige Fassung der Interims-VO beziehe, dieses Argument jedoch vermutlich nicht vom EP akzeptiert werde, wenn man diese Bestimmung im Trilog zur CSA-VO verhandle.

TOP 3 – Proposal for a Regulation laying down rules to prevent and combat child sexual abuse (6946/26, WK 3494/2026)

Vors. unterstrich, dass die Verhandlungen sehr schnell voranschritten und man in einer sehr positiven Stimmung mit dem EP verhandle. Im Übrigen seien die Fortschritte im Bezugsdokument ersichtlich und man erbitte schriftliche Kommentare bis zum 12. März. Vors. habe auch begonnen, die Erwägungsgründe anzupassen. Das ITM am kommenden Freitag habe man abgesagt, um ich um die Interims-VO zu kümmern und weitere Schritte – dann auch zu umstritteneren Artikeln (Art. 3 – 5) – vorzubereiten.

KOM bestätigte den positiven Eindruck des Vors., sprach jedoch die Problematik des case-by-case Zugriffs von Europol auf die Datenbank des Zentrums an. Dies könne leicht zu bürokratisch werden. Vors. entgegnete, dass die MS dieser Formulierung zugestimmt hätten.

Auf meine Nachfrage zu Artikel 45, Zeile 646, erläuterten KOM und Vors., dass dies sowohl für statistische Auswertungen sinnvoll sei als auch helfen können, die Diensteanbieter zu informieren, wenn diese Bilder mehrfach gemeldet würden.

FRA bat erneut um Klarstellung, was mit „manifestly unfounded“ gemeint sei. Zudem sei Zeile 411 so breit gefasst, dass auch Täter Informationen anfordern könnten. Es sei nicht sinnvoll, hier auf das Wort „Opfer“ zu verzichten. KOM und Vors. sahen hierin kein Problem, wollten sich den Text aber erneut anschauen. Grundsätzlich sei die Verwendung des Begriffs „Opfer“ schwierig, da hieran z.B. aus der Opferschutz-RL besondere Bedingungen geknüpft seien.

Auf AUT Bitte, die „manifestly unfounded reports“ auch mit Hashes zu speichern, unterstrich Vors. dann die Anonymisierung ein ausdrücklicher Wunsch des EP sei. Ob dies Hashes umfasse, müsse man dann in der praktischen Umsetzung sehen.

II. Im Einzelnen

entfällt

Dells Verwaltungslösung für den PC-Fernzugriff Secure Connect Gateway Policy Manager ist an mehreren Stellen verwundbar. Die Schwachstellen stecken in verschiedenen Softwarekomponenten von Drittanbietern.

Sicherheitspatch installieren

Auch wenn es in der Warnmeldung zu den Lücken keine Hinweise auf bereits laufende Attacken gibt, sollten Admins nicht zu lange zögern und zeitnah die gepatchte Version 5.34.00.14 installieren. Alle vorigen Ausgaben sind den Entwicklern zufolge angreifbar.

Von den Sicherheitsproblemen sind unter anderem die Komponenten Angular, Java 21 und logback betroffen. Öffnet ein Opfer etwa eine präparierte PNG-Datei, kommt es zu Fehlern und das System hängt sich in einem DoS-Zustand auf (CVE-2026-25646 „hoch“). Weiterhin kann es noch zu XSS-Attacken (CVE-2026-22610 „hoch“) und Fehlern beim Sperren von Zertifikaten kommen (CVE-2026-24734 „hoch“).

(des)

Das OpenWrt-Projekt hat die Service-Releases 25.12.1 und 24.10.6 veröffentlicht. Die korrigieren einige kleinere Fehler, aber auch als kritisches Risiko eingestufte Sicherheitslücken. Wer OpenWrt einsetzt, sollte daher zeitnah die Aktualisierungen anwenden.

Das OpenWrt-Projekt hat für das Release 25.12.1 und für Release 24.10.6 je eine Übersicht der Änderungen herausgegeben. Die Schwachstellen betreffen die Vorgängerversionen beider Entwicklungszweige gleichermaßen. Zwei Sicherheitslücken im mdnsd erhalten eine Einstufung als kritisches Risiko. Bei der einen handelt es sich um einen möglichen Pufferüberlauf auf dem Stack beim Verarbeiten bösartig präparierter PTR-Anfragen für Reverse-DNS-Domains. Die Schwachstelle lässt sich ausnutzen, sofern der Daemon Multicast-DNS-Queries auf UDP-Port 5353 empfängt (CVE-2026-30871, CVSS4 9.5, Risiko „kritisch“). Dasselbe kann beim Verarbeiten von IPv6-Rückwärtsauflösungen passieren (CVE-2026-30872, CVSS4 9.5, Risiko „kritisch“)

In der Oberfläche können Angreifer den WLAN-Scan-Modus für Cross-Site-Scripting-Angriffe missbrauchen, da die SSIDs in der Anzeige der Scan-Ergebnisse als roh-HTML behandelt werden, ohne jedwede Prüfung oder Filterung (CVE-2026-32721, CVSS 8.6, Risiko „hoch“). Zwei weitere Schwachstellen, die die Updates ausbessern, stellen jedoch lediglich ein niedriges Risiko dar (CVE-2026-30873, CVSS4 2.4; CVE-2026-30874, CVSS4 1.8; beides Risiko „niedrig“).

OpenWrt-Updates: Weitere Korrekturen

Die Release-Übersichten listen jeweils noch diverse weitere Verbesserungen und Korrekturen auf. Die Version 24.10.6 etwa aktualisiert OpenSSL und schließt somit mehrere Sicherheitslücken darin. Die 25.12.1-Fassung korrigiert außerdem weitere Schwachstellen ohne CVE-Einträge, konkret in odhcpd und procd. Interessierte finden dort zudem noch Hinweise zu Korrekturen, die bestimmte unterstützte Geräte oder Komponenten und Module des Betriebssystems betreffen. Aufgrund des Schweregrads der Lücken sollten OpenWrt-Nutzer und -Nutzerinnen die Updates zeitnah anwenden.

Die Version 25.12.0 von OpenWrt kam erst vor rund zwei Wochen heraus. Die herausstechendste Änderung darin war der Wechsel des Paketmanagers für die Softwareverwaltung.

Siehe auch:

(dmk)