Kurz vor entscheidenden Verhandlungen in Brüssel wird der Druck auf die Bundesregierung und die EU-Gremien massiv.
Angesichts der komplexen Debatten um digitale Überwachung und neue EU-Regulierungen ist es für Betriebe entscheidend, die eigenen Pflichten genau zu kennen. Dieses kostenlose E-Book bietet Ihnen einen kompakten Überblick über die aktuellen Anforderungen und Fristen der EU-KI-Verordnung. EU AI Act in 5 Schritten verstehen
Grundrechte versus Generalverdacht
Am 5. Mai 2026 hat die Konferenz der unabhängigen Datenschutzbehörden von Bund und Ländern eine klare Botschaft nach Brüssel gesendet: Die geplante Verordnung zur Bekämpfung von Kindesmissbrauch darf nicht zu einer flächendeckenden Überwachung aller Bürger führen. Der Vorstoß kommt genau eine Woche vor der vierten Runde der Trilog-Verhandlungen, die am 11. Mai beginnen.
Die DSK warnt seit Monaten vor einem unverhältnismäßigen Eingriff in die Grundrechte. Zwar sei der Schutz von Kindern vor sexuellem Missbrauch ein „überragend wichtiges Ziel“, so der aktuelle Vorsitzende Professor Dr. Tobias Keber. Doch der Staat dürfe nur Mittel einsetzen, die mit der EU-Grundrechtecharta vereinbar seien. Die flächendeckende Überwachung privater Kommunikation über Messenger-Dienste erfülle diese Anforderungen nicht.
Keber betont: Die Vertraulichkeit der Kommunikation sei ein Kernbestandteil der Privatsphäre aller Bürger. Statt eines Generalverdachts brauche es gezielte Maßnahmen und Prävention – etwa durch Aufklärungskampagnen.
Bereits am 26. Februar 2026 hatte die DSK einen vollständigen Verzicht auf die Massenüberwachung gefordert. Und schon im Oktober 2025 warnte die damalige Vorsitzende Meike Kamp: Solche Maßnahmen bedeuteten das Ende der Privatsphäre, wie wir sie in einer offenen Gesellschaft kennen.
Die technische Falle: Client-Side Scanning
Im Zentrum der Kritik steht die Technik des Client-Side Scanning (CSS). Dabei werden Daten bereits auf dem Endgerät des Nutzers durchsucht – noch bevor sie verschlüsselt oder versendet werden. Die DSK warnt: Diese Methode hebelt die Ende-zu-Ende-Verschlüsselung faktisch aus.
Das Problem: Wer Hintertüren in Verschlüsselungsprotokolle einbaut, schwächt die Sicherheit der gesamten digitalen Infrastruktur. Diese Lücken könnten von Kriminellen oder Geheimdiensten ausgenutzt werden. Selbst wenn die Überwachung auf bestimmte Kategorien wie Videos oder URLs beschränkt bliebe, bleibe sie ein grundlegender Eingriff in das Recht auf informationelle Selbstbestimmung.
Die Internetwirtschaft schlägt in die gleiche Kerbe. Bereits Mitte April 2026 warnte der Verband der Internetwirtschaft eco vor erheblichen rechtlichen Risiken und bürokratischen Lasten für Unternehmen. Der deutsche E-Mail-Anbieter Tuta äußerte ebenfalls Bedenken: Fehleranfällige KI-Modelle zur Erkennung von Missbrauch könnten intime, aber völlig harmlose Gespräche offenlegen.
Rechtsvakuum nach Auslaufen der Freiwilligkeit
Die Dringlichkeit des DSK-Appells erklärt sich aus der aktuellen Gesetzeslage. Am 3. April 2026 ist eine Übergangsregelung ausgelaufen, die Messenger-Diensten erlaubte, freiwillig nach Missbrauchsmaterial zu suchen. Diese Regelung war nötig geworden, weil sich EU-Parlament und Rat weder auf eine dauerhafte Verordnung noch auf eine Verlängerung der freiwilligen Regeln einigen konnten.
Der entscheidende Schlag kam am 26. März 2026: Das EU-Parlament lehnte eine Verlängerung der freiwilligen Maßnahmen ab. 311 Abgeordnete stimmten dagegen, 228 dafür, 92 enthielten sich. Besonders deutlich war die Ablehnung unter den deutschen EU-Abgeordneten: 62 von ihnen stimmten gegen die Verlängerung. Die Sorge: Aus freiwilligen Maßnahmen könnte schnell eine verpflichtende Überwachung werden.
Analysten sprechen nun von einer „Sicherheitslücke“. Datenschützer sehen darin dagegen einen notwendigen Schritt, um die Normalisierung der Massenüberwachung zu verhindern. Die Trilog-Verhandlungen ab dem 11. Mai gelten als letzte Chance, den Stillstand zu überwinden. Die EU-Kommission drängt seit Mai 2022 auf eine verpflichtende Überwachung. Das EU-Parlament pocht auf den Schutz verschlüsselter Kommunikation.
Was die Wirtschaft jetzt wissen muss
Für Unternehmen und Datenschutzbeauftragte hat der Streit handfeste Konsequenzen. Die DSK stellt klar: Jede künftige Regelung muss mit der DSGVO und dem Digital Services Act vereinbar sein. Bereits im November 2025 hatte die Konferenz konkrete Vorschläge vorgelegt: strengere Regeln für Profiling und Werbung, die sich an Kinder richtet, sowie klarere Vorgaben für „Privacy by Design“.
Da die Einhaltung der DSGVO-Richtlinien für Unternehmen immer komplexer wird, ist eine lückenlose Dokumentation unerlässlich. Nutzen Sie diese kostenlose Excel-Vorlage und Anleitung, um Ihr Verarbeitungsverzeichnis rechtssicher und zeitsparend zu erstellen. Gratis Muster-Verarbeitungsverzeichnis jetzt herunterladen
Die Botschaft der Datenschützer: Plattformbetreiber sollen sichere Umgebungen schaffen – durch Architektur, nicht durch Überwachung.
Die politische Landschaft bleibt gespalten. Im Herbst 2025 verhinderte eine Sperrminorität im EU-Rat unter Führung Deutschlands einen Kompromissvorschlag der dänischen EU-Ratspräsidentschaft. Das Bundesjustizministerium bleibt kritisch: Die „Client-Side Scanning“-Komponenten des Entwurfs seien ein „Frontalangriff“ auf die digitale Sicherheit.
Ausblick: Entscheidungswoche in Brüssel
Wenn am 11. Mai die vierte Runde der Trilog-Verhandlungen beginnt, steht die EU-Kommission unter massivem Druck. Die DSK hat klargemacht: Jeder Kompromiss wird von den nationalen Aufsichtsbehörden auf Herz und Nieren geprüft. Verstöße gegen den Grundsatz der Verhältnismäßigkeit könnten vor Gericht landen.
Die deutschen Datenschützer fordern einen zielgerichteten Ansatz: Überwachung nur bei konkretem Tatverdacht gegen eine bestimmte Person. Ob sich die EU-Staaten auf einen Weg einigen können, der sowohl den Kinderschutz als auch die Privatsphäre wahrt, ist völlig offen. Für Unternehmen im digitalen Raum wird der Ausgang der Verhandlungen zur Wegmarke: Er entscheidet über die Zukunft der Verschlüsselung und des Datenschutzes in Europa.
