Wann wird der freiwillige Scan privater Chats zum Datenschutzrisiko?

Stand: 09.07.2026. Das Europäische Parlament hat die umstrittene Ausnahmeregel zur sogenannten Chatkontrolle einen Schritt weitergebracht. Laut ZEIT/dpa billigte das Parlament grundsätzlich eine befristete Ausnahme von europäischen Datenschutzregeln, verlangte aber noch Änderungen am Vorschlag. Für Unternehmen und Datenschutzteams ist das mehr als ein politisches Signal. Es geht um die Frage, wann aus freiwilliger Missbrauchserkennung ein dauerhafter Prüfpfad für private Kommunikation wird.

Der Kern ist schnell erklärt: Anbieter wie Messenger, Maildienste oder Plattformen sollen unter bestimmten Bedingungen wieder automatisiert nach Hinweisen auf sexualisierte Gewalt gegen Kinder suchen dürfen. Befürworter verweisen auf Kinderschutz und Ermittlungsnutzen. Kritiker sehen ein Risiko für Vertraulichkeit, Ende-zu-Ende-Verschlüsselung und die Erwartung, dass private Chats nicht vorsorglich gescannt werden. Genau diese Spannung macht die Abstimmung für Datenschutzverantwortliche praktisch relevant.

Was das Parlament wirklich entschieden hat

Die heutige Entscheidung ist kein endgültiger Abschluss der dauerhaften Chatkontrolle, aber sie öffnet das Verfahren für die befristete Ausnahme wieder. ZEIT/dpa berichtet, dass das Gesetzgebungsverfahren weitergehen kann, weil das Parlament die Ausnahme grundsätzlich billigte. Tichys Einblick nennt als Abstimmungsstand 314 Stimmen für den Antrag und 276 dagegen. Danach kam keine absolute Mehrheit gegen den Ratstext zustande.

Wichtig ist die technische und rechtliche Zwischenlage. Die bisherige Ausnahme war laut Tichys Einblick am 3. April ausgelaufen. Der Rat der Europäischen Union hatte Anfang Juli eine erneute Übergangsregel unterstützt, die bis zum 3. April 2028 gelten soll. Parallel bleibt das größere Gesetzespaket zur Bekämpfung von Missbrauchsdarstellungen im Netz politisch umkämpft. Das offizielle Verfahrensdossier des Europäischen Parlaments zu 2022/0155(COD) bleibt deshalb der maßgebliche Anker für den weiteren legislativen Verlauf.

Warum private Kommunikation dadurch nicht nur politisch betroffen ist

Datenschutzrechtlich hängt die Bewertung nicht daran, ob ein Scan freiwillig heißt. Entscheidend ist, welche Kommunikationsinhalte oder Metadaten verarbeitet werden, welche Trefferlogik eingesetzt wird, wer Ergebnisse prüft und wie Fehlalarme korrigiert werden. Sobald private Chats, Bilder oder Anhänge automatisiert analysiert werden, entsteht ein Eingriff in Vertraulichkeit und Erwartungsschutz. Das gilt besonders, wenn Nutzerinnen und Nutzer nicht sicher unterscheiden können, ob ihre Kommunikation Ende-zu-Ende-verschlüsselt bleibt oder vor, nach oder außerhalb der Verschlüsselung geprüft wird.

Für Unternehmen ist die Lage deshalb auch dann relevant, wenn sie keine Plattform betreiben. Viele Betriebe nutzen Messenger, Kollaborationstools und Cloud-Kommunikation als Teil ihrer täglichen Arbeit. Wenn Anbieter neue Scanfunktionen aktivieren, entstehen Fragen für Datenschutz-Folgenabschätzungen, Anbieterprüfung, Betriebsratskommunikation und interne Informationspflichten. Wer vertrauliche Kundenkommunikation, Gesundheitsdaten, Beschäftigtendaten oder Rechtskommunikation über solche Kanäle laufen lässt, muss verstehen, ob der Dienst wirklich nur Missbrauchsmaterial erkennt oder ob zusätzliche Inhaltsverarbeitung möglich wird.

Welche Prüfpflichten jetzt im Alltag entstehen

Der erste praktische Schritt ist kein pauschales Verbot, sondern eine saubere Anbieterfrage. Datenschutzteams sollten von ihren wichtigsten Kommunikationsdiensten wissen, ob und wie freiwillige Scans aktiviert werden, auf welcher Rechtsgrundlage sie laufen, ob Inhalte lokal, serverseitig oder durch Dritte geprüft werden und welche Widerspruchs- oder Abschaltmöglichkeiten bestehen. Ebenso wichtig ist, ob Treffer an Behörden, Moderationsteams oder externe Prüfdienstleister gehen.

Der zweite Schritt betrifft Transparenz. Beschäftigte, Kunden und Partner dürfen nicht erst aus Medienberichten erfahren, dass ein Kommunikationskanal Inhalte technisch prüft. Wenn ein Dienst private oder vertrauliche Nachrichten automatisiert analysiert, muss das in Datenschutzinformationen, Risikoabwägungen und gegebenenfalls in internen Nutzungsrichtlinien sichtbar werden. Gerade bei sensiblen Datenarten reicht eine allgemeine Tool-Freigabe nicht aus.

Der dritte Schritt ist die Grenze zum Regelbetrieb. Eine befristete Ausnahme kann sich organisatorisch verfestigen, wenn Anbieter Prozesse, Schnittstellen und Moderationsteams darauf ausrichten. Unternehmen sollten deshalb nicht nur die aktuelle Rechtslage beobachten, sondern auch Vertragsänderungen, Produktankündigungen und technische Hilfeseiten ihrer Anbieter prüfen. Die offene Datenschutzfrage lautet nicht, ob Kinderschutz wichtig ist. Sie lautet, wie eng eine Ausnahme gebaut sein muss, damit private Kommunikation nicht dauerhaft zur vorsorglich durchsuchten Infrastruktur wird.

Quellen: ZEIT/dpa zur Abstimmung, Tichys Einblick zu Stimmen und Übergangsregel, Piratenpartei Deutschland zur Kritik am Eilverfahren, Europäisches Parlament zum Verfahren 2022/0155(COD).

Abmahnschutz automatisiert

Ist Ihre Website
DSGVO-sicher?

Weitere News rund um DSGVO und Datenschutz