Die EU hat einen neuen Gesetzesentwurf zur Bekämpfung von Kindesmissbrauch im digitalen Raum vorgelegt – und verzichtet dabei bewusst auf die umstrittene flächendeckende Chatkontrolle. Stattdessen setzt die Kommission auf risikobasierte Bewertungen, freiwillige Maßnahmen der Anbieter und Datenschutz als Leitprinzip. Was steckt hinter dem neuen Modell – Fortschritt oder Gefahr der Wirkungslosigkeit?
Hintergrund: Der Konflikt zwischen Kinderschutz und Datenschutz
In den vergangenen Jahren hat die Europäische Union mehrfach versucht, einen rechtlichen Rahmen zur Bekämpfung von Kindesmissbrauch im Internet zu schaffen. Im Zentrum der Kritik stand immer wieder der Vorschlag zur verpflichtenden Chatkontrolle, bei der private Kommunikationsinhalte automatisiert gescannt werden sollten – ein Vorschlag, der sowohl von Datenschützer:innen als auch von technischen Fachleuten massiv kritisiert wurde.
Die Kritik kulminierte 2023, als mehr als 500 zivilgesellschaftliche Organisationen, IT-Sicherheitsforscher:innen und Europaabgeordnete die EU aufforderten, „Ende-zu-Ende-Verschlüsselung nicht auszuhebeln“ (European Digital Rights (EDRi), 2023). Der damalige Entwurf wurde vom Europäischen Parlament im Juni 2024 schließlich abgelehnt.
Jetzt, im Herbst 2025, liegt ein überarbeiteter Gesetzesentwurf auf dem Tisch – mit einem deutlich veränderten Ansatz.
Der neue Entwurf: Schutz durch Risikoanalyse statt Massenüberwachung
Der überarbeitete Vorschlag der EU-Kommission verzichtet auf verpflichtende Inhaltsüberwachung von privaten Chats. Stattdessen setzt das Konzept auf drei zentrale Säulen:
- Risikobewertung: Anbieter digitaler Dienste wie Messaging-Apps oder Hosting-Plattformen müssen individuelle Risikoanalysen erstellen. Diese evaluieren, inwiefern ihre Dienste zur Verbreitung von Missbrauchsmaterial genutzt werden könnten.
- Freiwillige Maßnahmen: Unternehmen können auf dieser Basis eigene Schutzmaßnahmen entwickeln – etwa durch Meldefunktionen, Moderation, Upload-Filter oder organisatorische Kontrollmechanismen.
- Transparenz und Kontrolle durch Aufsicht: Eine unabhängige EU-Behörde soll die Analysen und Maßnahmen überprüfen, koordinieren und öffentlich machen.
„Wir verabschieden uns von der Idee, Kommunikation präventiv zu überwachen und setzen stattdessen auf Verantwortung, Risikoabschätzung und gezielte Maßnahmen“, sagte EU-Innenkommissarin Ylva Johansson bei der Vorstellung Ende Oktober 2025.
Datenschutzfreundlich, aber effektiv?
Ein zentrales Ziel des neuen Modells ist es, den Schutz von Kindern im digitalen Raum mit den Grundrechten auf Privatsphäre und freie Kommunikation in Einklang zu bringen. Besonders die Ende-zu-Ende-Verschlüsselung, wie sie Dienste wie Signal, Threema oder WhatsApp nutzen, soll laut Kommission vollständig gewahrt bleiben.
Dennoch stellt sich die Frage nach der Wirksamkeit freiwilliger Schutzmaßnahmen ohne Überwachungspflicht. Kritiker:innen befürchten eine Uneinheitlichkeit der Maßnahmen und eine unzureichende Verhinderung von Missbrauch. Andere loben den Ansatz als grundrechtskonform und flexibel – und sehen Technologieunternehmen in der Pflicht.
Aktuelle Berichte zeigen, dass solche Anbieter bereits heute erhebliche Schritte unternehmen: Meta etwa meldete 2024 über 27 Millionen Inhalte mit möglichem sexuellem Kindesmissbrauch an das US-amerikanische National Center for Missing & Exploited Children (NCMEC) (NCMEC Transparency Report, 2024).
Der Standpunkt der Anbieter und Zivilgesellschaft
Die Reaktionen auf den neuen Vorschlag sind gemischt. Während Datenschutzorganisationen wie die Gesellschaft für Freiheitsrechte (GFF) den Verzicht auf die Chatkontrolle begrüßen, mahnen Kinderschutzorganisationen wie „Innocence in Danger“ mehr rechtliche Verbindlichkeit ein. Auch die EU-Datenschutzbeauftragte äußerte sich positiv und sprach von einem „nüchternen, grundrechtskonformen Kompromiss“.
Technologieanbieter zeigen sich prinzipiell offen: „Prävention durch Design und gut funktionierende Melde-Mechanismen sind effektive und rechtskonforme Mittel gegen Kindesmissbrauch“, sagte ein Sprecher von Google Deutschland. Gleichzeitig kritisieren einige kleinere Anbieter, dass der neue Entwurf sie zu aufwendigen Risikobewertungen verpflichtet, ohne klare technische Richtlinien zu liefern.
Herausforderungen bei der Umsetzung
Der Entwurf verlangt eine differenzierte Einschätzung der unterschiedlichen Dienste: Eine Hosting-Plattform für Bilder, ein Cloud-Dienst und ein verschlüsselter Messenger stellen jeweils andere Angriffspunkte dar – und bergen unterschiedliche Risiken. Die Umsetzung der Risikobewertungen bleibt somit komplex und personell aufwendig.
Laut einer Studie des Centre for Cyber Security and Law (2025) rechnen 68 % der mittelgroßen europäischen Tech-Unternehmen mit erheblichen Kosten durch die verpflichtenden Risikoanalysen im ersten Jahr der Umsetzung. Gleichzeitig gaben 54 % an, dass sie entsprechende Maßnahmen bereits teilweise freiwillig eingeführt haben.
Das spricht für eine gewisse Bereitschaft in der Industrie – zeigt aber auch, dass der Rechtsrahmen klare Definitionen, Tools und Checklisten bereitstellen muss.
Wie freiwillig ist freiwillig?
Ein weiterer Punkt: Auch wenn Schutzmaßnahmen formal freiwillig sind, stehen Anbieter unter erheblichem indirektem Druck. Denn hohe Risiken ohne angemessene Maßnahmen könnten zu öffentlicher Kritik, Reputationsverlust und Sanktionsandrohungen führen – insbesondere nach Überprüfung durch die geplante EU-Koordinationseinheit.
Datenschützer:innen fordern deshalb eine stärkere Regulierung des Verhältnismäßigkeitsprinzips. „Es muss sichergestellt sein, dass Anbieter nicht gezwungen sind, Maßnahmen zu wählen, die mit Datenschutz oder Verschlüsselung kollidieren – ganz gleich, wie hoch das Risiko bewertet wird“, so ein Positionspapier des European Data Protection Board vom 23. Oktober 2025.
Potenzial durch technologische Innovation
Es gibt Hoffnung, dass moderne Technologien Missbrauch effektiv bekämpfen können, ohne in die Privatsphäre einzugreifen. Beispielhaft nennt die Kommission in ihrem Entwurf etwa die Weiterentwicklung von Hash-Datenbanken auf Client-Seite, KI-gestützte Anomalieerkennung ohne Inhaltsanalyse und sichere Meldewege für Nutzer:innen.
Viele dieser Technologien befinden sich jedoch noch in der Pilotphase. Wichtig ist laut Expert:innen ein transparenter Dialog zwischen Forschenden, Anbietern und Aufsichtsbehörden. Open-Source-Initiativen könnten helfen, Vertrauen und Innovation gleichzeitig zu fördern.
Praktische Empfehlungen für Anbieter digitaler Dienste
- Führen Sie eine strukturierte Risikoanalyse durch, angepasst an die Architektur und Zielgruppe Ihres Dienstes. Ziehen Sie externe Expertise hinzu.
- Implementieren Sie transparente und leicht zugängliche Melde- und Deeskalationsprozesse für Nutzer:innen und Moderatorenteams.
- Nutzen Sie bestehende Tools und Standards (z. B. PhotoDNA, ICCAM, INHOPE API) – in datenschutzkonformer Form – zur Detektion von bekanntem Missbrauchsmaterial.
Fazit: Ein Balanceakt mit Potenzial
Der neue EU-Entwurf markiert eine deutliche Abkehr von der pauschalen Massenüberwachung privater Kommunikation. Stattdessen wählt die Union einen datenschutzfreundlicheren Weg, der technologische und organisatorische Lösungsspielräume schafft – aber auch Verantwortung an Netzbetreiber delegiert.
Ob dieses Modell in der Praxis trägt, hängt vor allem von Umsetzungshilfen, Aufsichtstransparenz und technischer Machbarkeit ab. Eines ist jedoch klar: Die Debatte um Privatsphäre und Kinderschutz wird Europa auf absehbare Zeit weiter beschäftigen. Technik und Recht müssen hier Hand in Hand gehen.
Was denken Sie über den neuen EU-Ansatz? Diskutieren Sie mit uns in den Kommentaren, teilen Sie den Artikel in Ihrer Fachcommunity oder senden Sie uns Ihre Meinung zu Datenschutz, Missbrauchsprävention und digitaler Verantwortung.
