In einem bedeutenden doppelten Vorstoß für eine Regulierung der Online-Sicherheit haben die Institutionen der Europäischen Union am Mittwoch zwei wichtige Rahmenwerke vorgelegt: eine Einigung des Rates über die Verordnung über Materialien zum sexuellen Missbrauch von Kindern (CSAM), die die Ende-zu-Ende-Verschlüsselung aufrechterhält, und eine Abstimmung im Parlament, die ein harmonisiertes digitales Einwilligungsalter von 16 Jahren fordert.
Um eine jahrelange Pattsituation zu durchbrechen, haben die Mitgliedstaaten eine Position zur „Chat-Kontrolle“ angenommen, die umstrittene obligatorische Erkennungsanordnungen für verschlüsselte Dienste aufhebt.
Dieser vom Rat der EU erzielte Kompromiss stellt eine Abkehr vom ursprünglichen Kommissionsvorschlag dar und geht auf Datenschutzbedenken ein, indem die Verpflichtung zur Datenentschlüsselung aufgehoben und gleichzeitig freiwillige Scan-Mechanismen beibehalten werden.
Gleichzeitig kündigte das Europäische Parlament ein umfassenderes Vorgehen gegen den Zugang von Jugendlichen an zu Plattformen. Die Gesetzgeber stimmten mit überwältigender Mehrheit für einen Bericht, der ein Mindestalter von 16 Jahren für die Nutzung sozialer Medien ohne Zustimmung der Eltern fordert und gleichzeitig Verbote von „süchtig machenden Designs“ wie unendlichem Scrollen fordert.
Die Abstimmung Deutschlands erwies sich als entscheidend für die Einigung des Rates zu CSAM. Berlin hatte zuvor aufgrund von Bedenken hinsichtlich Datenschutz und Verschlüsselung eine Sperrminorität und unterstützte den Vorschlag, nachdem der Text dahingehend geändert wurde, dass sichere Kommunikationstechnologien ausdrücklich geschützt werden.
Den Abstimmungsergebnissen zufolge erhielt der Kompromiss trotz des Widerstands aus den Niederlanden, Polen, der Tschechischen Republik und der Slowakei genügend Unterstützung.
Spezifische Schutzmaßnahmen für Cybersicherheit
Spezifische Schutzmaßnahmen für Cybersicherheitsmaßnahmen sind im vereinbarten Text enthalten. Gemäß der neuen Position ist die Verordnung so gestaltet, dass eine Schwächung von Verschlüsselungsprotokollen vermieden wird.
In der allgemeinen Ausrichtung des Rates heißt es:
„Diese Verordnung darf Cybersicherheitsmaßnahmen, insbesondere Verschlüsselung, einschließlich Ende-zu-Ende-Verschlüsselung, die von den relevanten Diensten der Informationsgesellschaft oder von den Nutzern umgesetzt werden, nicht verbieten, unmöglich machen, schwächen, umgehen oder auf andere Weise untergraben.“
„Diese Verordnung begründet keine Verpflichtung, die einen Anbieter von Hosting-Diensten oder einen Anbieter interpersoneller Kommunikationsdienste erfordern würde.“ B. um Daten zu entschlüsseln oder Zugriff auf Ende-zu-Ende-verschlüsselte Daten zu schaffen, oder die Anbieter daran hindern würde, Ende-zu-Ende-verschlüsselte Dienste anzubieten. Durch die Aufhebung der Verpflichtung zur Entschlüsselung von Daten versucht der Rat, die Anforderungen der Strafverfolgung mit den Grundrechten auf Privatsphäre in Einklang zu bringen.
Trotz der Aufhebung verbindlicher Erkennungsanordnungen für verschlüsselte Dienste verlängert der Kompromiss einen umstrittenen Mechanismus auf unbestimmte Zeit. Durch die Vereinbarung wird die vorübergehende Ausnahme gemäß der Verordnung 2021/1232 dauerhaft, die es Plattformen derzeit ermöglicht, freiwillig nach CSAM zu suchen, ohne gegen E-Privacy-Regeln zu verstoßen. Zuvor sollte diese Ausnahme am 3. April 2026 auslaufen.
Im Kompromisstext des Vorsitzes heißt es:
„Die Ausnahme von bestimmten Bestimmungen der Richtlinie 2002/58/EG zur Bekämpfung des sexuellen Missbrauchs von Kindern wird durch eine Änderung der Verordnung (EU) 2021/1232 dauerhaft gemacht.“
„Die freiwilligen Aktivitäten von Anbietern, die die Ausnahme gemäß der Verordnung nutzen.“ (EU) 2021/1232 werden als mögliche Schadensbegrenzungsmaßnahme aufgenommen, ohne dass den Anbietern Aufklärungspflichten auferlegt werden.“
Peter Hummelgaard, der dänische Justizminister, begründete die Dringlichkeit der Maßnahmen mit dem Hinweis auf das Ausmaß des Problems.
Er stellte fest: „Jedes Jahr werden Millionen von Dateien geteilt, die den sexuellen Missbrauch von Kindern darstellen. Und hinter jedem einzelnen Bild und Video steht ein Kind, das am meisten betroffen ist Ein schrecklicher und schrecklicher Missbrauch. Das ist völlig inakzeptabel.“
Diese Stimmung spiegelt den Druck auf die Mitgliedstaaten wider, gegen die Verbreitung illegalen Materials vorzugehen und gleichzeitig die technischen Komplexitäten moderner digitaler Dienste zu bewältigen.
Im Rahmen des vereinbarten Textes wird eine neue „Hochrisiko“-Kategorisierung für Plattformen auf der Grundlage objektiver Kriterien eingeführt. Als hochriskant eingestufte Dienste könnten unter Druck geraten, diese „freiwilligen“ Maßnahmen zu ergreifen, um ihren Haftungs-oder Risikostatus zu mindern.
Befürworter des Datenschutzes, darunter die Piratenpartei, argumentieren, dass diese Struktur eine „de facto“-Zwang zum Scannen schafft und den Verschlüsselungsschutz auf dem Papier effektiv umgeht.
Um diese Bemühungen zu unterstützen, sieht die Verordnung eine vor neues EU-Zentrum für sexuellen Kindesmissbrauch. Diese Agentur wird die Datenbank der zur Erkennung verwendeten Indikatoren verwalten und die nationalen Behörden bei der Durchsetzung der Vorschriften unterstützen. Über den Standort des Zentrums ist noch nicht entschieden und wird in künftigen Verhandlungen festgelegt.
Vorstoß des Parlaments: Altersgrenze ab 16 Jahren und süchtig machendes Design
Getrennt davon verabschiedete das Europäische Parlament einen nicht-legislativer Bericht mit entscheidenden 483 Ja-Stimmen bei 92 Nein-Stimmen. Der Bericht ersetzt die derzeitige Flexibilität im Rahmen der DSGVO und fordert ein harmonisiertes digitales EU-Mindestalter von 16 Jahren für den Zugang zu sozialen Medien.
Im Gegensatz zum australischen Vorgehen gegen Teenager-Konten, das ein vollständiges Verbot für unter 16-Jährige vorschlägt, skizziert der angenommene Bericht ein Modell, bei dem der Zugang für 13-bis 16-Jährige gestattet ist, sofern die Zustimmung der Eltern vorliegt. Mit dem Ziel, den Schutz mit den digitalen Rechten in Einklang zu bringen, vermeidet dieser Ansatz einen vollständigen Ausschluss aus Online-Bereichen.
Christel Schaldemose, die Hauptberichterstatterin des Parlaments, betonte die Änderung des regulatorischen Tons und erklärte: „Wir ziehen endlich eine Grenze. Wir sagen den Plattformen klar: Ihre Dienste sind nicht für Kinder konzipiert. Und das Experiment endet hier.“
Ihre Kommentare spiegeln einen wachsenden Konsens unter den Gesetzgebern wider, dass freiwillige Maßnahmen der Industrie nicht dazu beigetragen haben, Kinder angemessen zu schützen.
Über Altersgrenzen hinaus fordert der Bericht ein Verbot „süchtig machender Designs“ für Minderjährige. Konkret zielt das Parlament auf Funktionen wie unendliches Scrollen und automatisches Abspielen ab, die als Ausnutzung der Schwachstellen junger Nutzer angesehen werden, um das Engagement zu maximieren.
Der Gesetzgeber argumentiert, dass diese Designentscheidungen zu psychischen Gesundheitsproblemen beitragen und für minderjährige Konten standardmäßig verboten werden sollten.
Um diese Verbote durchzusetzen, fordern die Gesetzgeber, dass sie im Digital Fairness Act kodifiziert werden. Dieser kommende Gesetzesvorschlag wird sich voraussichtlich mit umfassenderen Fragen des Verbraucherschutzes im digitalen Bereich befassen und ein rechtliches Vehikel für diese spezifischen Kindersicherheitsmaßnahmen bieten.
Der Vorschlag umfasst Maßnahmen zur Bekämpfung von „Kidfluencing“, die darauf abzielen, Minderjährige vor kommerzieller Ausbeutung auf Plattformen zu schützen. Der Bericht schlägt vor, dass Eltern eine größere Kontrolle über den digitalen Fußabdruck ihrer Kinder haben sollten und dass Plattformen die von kleinen Kindern generierten Inhalte nicht ohne strenge Sicherheitsvorkehrungen monetarisieren sollten.
Das Schlachtfeld des Trilogs und der globale Kontext
Nachdem sich der Rat nun auf die Position geeinigt hat, müssen die beiden Institutionen in „Trilog“-Verhandlungen eintreten, um ihre Texte in Einklang zu bringen. Das Parlament hatte bereits im November 2023 dafür gestimmt, das E2EE-Scannen vollständig abzuschaffen, was einen möglichen Konflikt über die Beibehaltung freiwilliger Scan-Mechanismen durch den Rat auslöste.
Ein zentraler Konfliktpunkt wird der „freiwillige“ Scan-Mechanismus sein. Das Parlament sieht darin ein Schlupfloch, das zu Massenüberwachung führen könnte, während der Rat darin ein notwendiges Instrument zur Strafverfolgung sieht. Die endgültige Verordnung muss diese gegensätzlichen Ansichten zum Umgang mit verschlüsselter Kommunikation überbrücken.
Weltweit steht der Ansatz der EU im Gegensatz zu Entwicklungen anderswo. In Australien verfolgt die Regierung ein striktes Verbot für den Zugang zu sozialen Medien für unter 16-Jährige, ein Schritt, der derzeit vor dem Obersten Gerichtshof angefochten wird. Während sich Australien auf eine harte Altersgrenze konzentriert, stützt sich der EU-Ansatz stark auf „Sicherheit durch Design“ und Verpflichtungen zur Risikominderung für Anbieter.
Es bestehen Parallelen zum US-Kontext, wo Sicherheitsrahmen und Gesetzesvorschläge ebenfalls auf das Plattformdesign abzielen. Der doppelte Fokus der EU auf den Datenschutz bei Verschlüsselung und die Sicherheit von Kindern führt jedoch zu einem einzigartigen rechtlichen Spannungsverhältnis, das in anderen Rechtsordnungen nicht in gleicher Weise besteht.
Tech-Giganten sehen sich einer fragmentierten Compliance-Landschaft gegenüber. Da verschiedene Regionen unterschiedliche Standards für die Altersüberprüfung, das Scannen von Inhalten und Designfunktionen anwenden, sind Unternehmen möglicherweise gezwungen, unterschiedliche Versionen von Plattformen wie Instagram und TikTok zu entwickeln. Diese Fragmentierung wird durch unterschiedliche nationale Ansätze und Rechtsstreitigkeiten auf Landesebene neben Bundesverboten vorangetrieben.
