Ihre Geräte gehören nicht mehr nur Ihnen allein. Ohne dass Sie darum gebeten haben, könnte eine umstrittene Technologie durch einfache Updates auf Ihrem Smartphone, Tablet oder Computer installiert werden. Sie nennt sich „Client-Side Scanning“ (CSS) – Scannen auf der Seite des Nutzers – und markiert einen tiefgreifenden Einschnitt in der Balance zwischen Sicherheit und Privatsphäre.

Dieses KI-gestützte Tool durchsucht jedes Bild, jede Nachricht und jedes Video direkt auf Ihrem Gerät, bevor es versendet wird, und vergleicht es mit Datenbanken illegaler Inhalte. Obwohl das erklärte Ziel lobenswert ist, löst die obligatorische Implementierung in Systemen wie iOS und Android eine tiefgreifende Debatte aus. Opfern wir die Essenz der Verschlüsselung und der digitalen Privatsphäre für mehr Sicherheit? Hier folgt die Analyse einer Technologie, die ob Sie es wollen oder nicht bald untrennbarer Bestandteil Ihres digitalen Lebens sein könnte.

Was ist CSS?

„Client-Side Scanning“ bedeutet, dass eine Software – fest integriert in das Betriebssystem oder als Nebenfunktion – lokal auf dem Gerät läuft. Wie bei vielen Updates wird sie automatisch eingespielt, ohne dass Nutzerinnen und Nutzer sie aktiv installieren. Sie hat jedoch eine bestimmte Funktion.

Die Software scannt Bilder, Videos, Nachrichten und andere Inhalte auf dem Gerät des Benutzers („on-device“, also z. B. Handy, Tablet oder Computer), bevor diese versendet oder in der Cloud gespeichert werden. Dazu werden Algorithmen der künstlichen Intelligenz und Hashing-Verfahren (wie PhotoDNA oder Perceptual Hashing) verwendet, um die Inhalte mit Datenbanken bekannter Kinderpornografie zu vergleichen. Dabei muss nicht alles an zentrale Server gesendet werden. Dies ist für Messaging-Apps, E-Mails und soziale Netzwerke vorgesehen.

Entwicklung und Einführung:

  • Apple/iOS: Apple schlug 2021 ein ähnliches System zur Erkennung von CSAM in iCloud vor, setzte es jedoch aufgrund von Datenschutzbedenken vorerst aus. Die EU-Verordnung könnte jedoch dazu führen, dass es in zukünftigen iOS-Updates implementiert werden muss.
  • Android/Google: Google verwendet bereits freiwillig ähnliche Tools in einigen Diensten (wie Gmail oder YouTube). Der Vorschlag würde dies jedoch auf obligatorische Scans auf Geräten für Apps von Drittanbietern ausweiten.
  • Aktueller Stand: Die CSS befindet sich in der Entwicklungs- und Diskussionsphase. Eine allgemeine Einführung hat noch nicht stattgefunden, jedoch wird erwartet, dass große Plattformen (wie WhatsApp, Signal und Telegram) sie zwischen 2025 und 2026 integrieren müssen, sofern die Verordnung verabschiedet wird. Unternehmen wie Signal und Apple haben vor Risiken für den Datenschutz und die Ende-zu-Ende-Verschlüsselung gewarnt.

Kritik

Experten argumentieren, dass dies die Verschlüsselung schwächen, Tür und Tor für staatlichen Missbrauch öffnen und zu Fehlalarmen führen könnte, wodurch die Privatsphäre von Millionen Nutzern beeinträchtigt würde. Die Plattformen sind transnational. Wie wir noch sehen werden, gibt es viele rechtliche und technische Implikationen.

Rechtlicher Hintergrund: EU-Regulierung „CSA“ („Chat Control“)

Offiziell heißt der Entwurf: „Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung von Vorschriften zur Verhütung und Bekämpfung des sexuellen Missbrauchs von Kindern“ (englischer Titel: „Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse“). Allgemein bekannt ist die Verordnung als „CSA-Verordnung” (Child Sexual Abuse Regulation) oder „Chat Control” (in den Versionen 1.0 und 2.0).

Gesetzgeberischer Kontext in der EU

Der Vorschlag wurde im Mai 2022 von der Europäischen Kommission als Teil der EU-Strategie 2020–2025 gegen Kindesmissbrauch vorgelegt. Er basiert auf früheren Verordnungen, wie der Verordnung (EU) 2021/1232 (befristet, erlaubt das freiwillige Scannen), macht das Scannen in bestimmten Fällen jedoch für Online-Diensteanbieter obligatorisch.

Aktueller Stand (September 2025): Der Entwurf wird noch verhandelt. Das Europaparlament verabschiedete im Juni 2025 Positionen, die KI zur Erkennung von Missbrauchsmaterial vorsehen. Der EU-Rat will seine Position am 12. September 2025 festlegen, ein Votum könnte am 14. Oktober 2025 folgen. Dänemark treibt die Pläne voran, Deutschland und andere Länder warnen vor Grundrechtsverletzungen.

Auswirkungen: Plattformen wären verpflichtet, von Behörden erlassene „Erkennungsanordnungen” mit Massenscans umzusetzen. Dazu gehören Maßnahmen wie die Zustimmung zum Scannen verschlüsselter Chats oder die Verwendung von „Upload-Moderation“ für hochgeladene Inhalte.

Die enorme Menge an Informationen, die im Laufe der Zeit gesammelt werden kann, ist mit Methoden aus dem 20. Jahrhundert nicht zu bewältigen.

Wenn der Vorschlag schließlich in der EU verabschiedet wird – der Zeitplan für die diesbezüglichen Aktivitäten ist mir nicht bekannt –, würde dies alle Geräte in der EU betreffen. Dabei hätte der Schutz von Kindern Vorrang, es würden jedoch Debatten über Massenüberwachung ausgelöst. Weitere Einzelheiten finden Sie auf der offiziellen Website des Europäischen Parlaments oder bei Organisationen wie EDRi.

Aus der pessimistischsten Perspektive betrachtet, dient der Kinderschutz lediglich als Vorwand, um die Kontrolle und Überwachung sozialer Netzwerke weiter auszubauen. Die radikalsten Stimmen behaupten, dass das Wissen darüber, was ‚in Netzwerken und Plattformen, Telefongesprächen, Telemetrien und Gesichtserkennungen‘ geschieht, in Verbindung mit der EU-Initiative für eine ‚universelle und eindeutige individuelle ID‘ zu orwellschen Zuständen führt – oder zumindest zu dem, was in den USA durch die Verarbeitung von Big Data bereits Realität ist und sogar vermarktet wird. Palantir gilt dabei als das bekannteste und am häufigsten genannte Unternehmen – und vermutlich auch als das führende. Gemeinsam mit anderen Firmen und deren Technologien dient es staatlichen Stellen bereits zur ‚Vorhersage von Straftaten‘ oder deren ‚möglichem Begehungsrisiko‘ sowie zur Erstellung geografischer Risikomatrizen für Personen, Kollektive und Gruppen.

  • Databricks ist auf Datenverarbeitung und Echtzeitanalysen spezialisiert und eine der wichtigsten Alternativen zu Palantir. Die Plattform wird von Regierungsbehörden und privaten Unternehmen zur Verarbeitung großer Datenmengen genutzt. (Investoren)
  • Snowflake bietet Lösungen für die Speicherung und Analyse von Daten in der Cloud. Unternehmen wie Amazon Web Services (AWS) und Microsoft Azure nutzen Snowflake, um Daten in großem Umfang zu integrieren und zu analysieren. (Consainsights)
  • IBM Watson Studio: Eine Plattform für künstliche Intelligenz und Datenanalyse, die im Regierungs- und Unternehmenssektor in direkter Konkurrenz zu Palantir steht. (Permutable Technologies Limited)
  • Alteryx bietet Datenanalyse-Tools, mit denen Benutzer Daten ohne fortgeschrittene Programmierkenntnisse aufbereiten, zusammenführen und analysieren können. (G2)
  • Splunk ist auf die Analyse von Maschinendaten und die Echtzeitüberwachung spezialisiert. Das Tool wird von Regierungen und Unternehmen für Sicherheits- und Compliance-Zwecke eingesetzt. (Consainsights)
  • Microsoft Azure Synapse Analytics und Power BI bieten integrierte Lösungen für Datenanalyse und -visualisierung. Sie konkurrieren mit den Plattformen von Palantir in verschiedenen weniger „kritischen” Sektoren. Dabei unterstützen sie Staaten und Institutionen dabei, ihre Informationen zu organisieren, zu verarbeiten und zu untersuchen. So können sie Erkenntnisse und Zusammenhänge ableiten und bessere Entscheidungen treffen. (Consainsights)
  • Google Cloud (BigQuery und Looker): Google Cloud bietet cloudbasierte Datenanalyse-Tools, die von staatlichen und privaten Organisationen zur Verarbeitung großer Datenmengen genutzt werden. (Consainsights)
  • Oracle ist ein Anbieter von Datenbank- und Datenanalyselösungen, der im Unternehmens- und Regierungssektor mit Palantir konkurriert. (Barron’s)
  • SAP Analytics Cloud: Bietet Datenanalyse- und Unternehmensplanungslösungen, die in verschiedenen Branchen mit den Plattformen von Palantir konkurrieren. (G2)
  • TIBCO Software bietet Datenintegrations- und Analyselösungen für Regierungs- und Unternehmensorganisationen an. (Consainsights)
  • Flock Safety ist auf automatische Kennzeichenerkennung, Videoüberwachung und Schusserkennung spezialisiert und in mehr als 5.000 Gemeinden in den USA tätig, wo das Unternehmen monatlich mehr als 20 Milliarden Fahrzeugscans erfasst. (Wikipedia)
  • Anduril Industries ist ein Verteidigungsunternehmen, das autonome und KI-basierte Lösungen für nationale Sicherheitsanwendungen entwickelt. (Reuters)
  • Raytheon Technologies, CACI International und Leidos Holdings bieten KI-basierte Entscheidungsunterstützungssysteme und Cybersicherheitsplattformen an. Damit konkurrieren sie direkt mit Palantir im Verteidigungs- und Geheimdienstsektor. (ai)
  • Salesforce (Missionforce) hat einen Geschäftsbereich für nationale Sicherheit ins Leben gerufen und fordert damit die Dominanz von Palantir bei Technologieverträgen mit der Regierung direkt heraus. (MarketWatch)

Bei den genannten Unternehmen handelt es sich um Konzerne, die im Rahmen ihres Unternehmenszwecks grundsätzlich legitime Tätigkeiten verfolgen – neben dem Ziel, die Gewinne ihrer Aktionäre zu maximieren. Die meisten von ihnen haben ihren Sitz in den Vereinigten Staaten, deren Gesetze per Definition und gängiger Praxis extraterritorial wirken. Damit stellen sich zentrale Fragen nach dem Speicherort der Daten, nach den für ihre Verarbeitung Verantwortlichen sowie nach den Personen, die währenddessen Zugriff auf sie haben.

Es geht nicht um die Legitimität der Vereinigten Staaten oder ihrer Gesetze, sondern darum, dass Europa bzw. die EU klare Regeln festlegt, um ihre Bürger vor Extraterritorialität und möglichem Missbrauch von Informationen zu schützen. Ein Beispiel hierfür ist der Fall der medizinischen Daten des britischen National Health Service (NHS), die in die Hände eines US-amerikanischen Konzessionsunternehmens auf Servern außerhalb Großbritanniens gelangten. Dies führte zu einem großen nationalen Skandal und dem Rücktritt mehrerer Verantwortlicher. In diesem kafkaesken Schloss, das die EU darstellt, muss vertraglich verbindlich gefordert werden, dass Unternehmer bzw. Unternehmen im Bereich der Spitzentechnologie eine größere Verantwortung für den Einsatz dieser Instrumente übernehmen. Denn die Menschheit steht vor wachsenden Herausforderungen, die genau diese Instrumente für eine effiziente Verwaltung der verstreuten Informationen und eine ethische Kontrolle ihrer Anwendung erfordern. Wir brauchen sie – aber mit der Vorsicht, mit der in Europa manche Themen behandelt werden. ‚Vorsicht‘ bedeutet dabei weder Langsamkeit noch Verhandlungen hinter verschlossenen Türen oder intransparenten Verträgen.

Es ist kein Vorwurf an die USA, dass sie bei diesen Werkzeugen führend sind. Wenn überhaupt, dann ist es ein Vorwurf an Europa, die EU und ihre Unfähigkeit, unsere Unternehmer dazu zu bringen, diese Technologien zu entwickeln, die die Menschheit braucht – zumindest vergleichbare oder kompetente. Es gibt unzählige Aspekte, die verwaltet, verknüpft, entschieden, erkannt und entdeckt werden müssen – und die bereits in all unserem Wissen verstreut vorliegen. Zur Veranschaulichung beginnen wir – der Unterhaltung halber – mit dem ‚Herrn der Ringe‘. Alle genannten Unternehmen stehen für Produkte, Dienstleistungen oder deren Hersteller, und der Nutzen ihrer Technologien für die Bevölkerung hängt letztlich davon ab, wie sie eingesetzt werden.

Um dieses Thema im Zusammenhang mit der Bekämpfung der organisierten Kriminalität, der Mafia und des Terrorismus sowie den damit verbundenen polizeilichen und sicherheitspolitischen Erfordernissen abzuschließen, ist es wichtig zu betonen, dass einige dieser Technologien bereits erprobt und getestet wurden. In Kombination mit KI-gestützten Analysen sind sie ausgereift. Letztere wurden zur Verarbeitung von Satellitentelemetriedaten, Bewegungsprofilen, Telefonkommunikation und anderen Indikatoren eingesetzt. Mithilfe dieser Tools konnten interessante Orte identifiziert, Namen mit Personen an diesen Orten in Verbindung gebracht und in einigen Fällen Zielelisten erstellt werden. So wurde das künstliche Intelligenzsystem „Lavender” beispielsweise von den israelischen Streitkräften (IDF) eingesetzt, um basierend auf Daten aus verschiedenen Quellen wie Satellitenbildern, abgefangenen Kommunikationen und sozialen Netzwerken bis zu 37.000 potenzielle Ziele in Gaza zu identifizieren. Zwar behauptet die IDF, dass die endgültige Entscheidung über Angriffe von menschlichen Analysten getroffen wird, jedoch wurde berichtet, dass der Einsatz dieser Tools den Prozess der Zielauswahl erheblich beschleunigt hat. Dies hat zu Bedenken hinsichtlich der Genauigkeit der Daten und der Achtung der Menschenrechte geführt. Darüber hinaus hat die IDF in früheren Operationen Systeme wie „The Gospel” eingesetzt, um Bombardierungsziele zu empfehlen, wodurch sich die Anzahl der Angriffe in kurzer Zeit erhöhte. Diese Entwicklungen werfen Fragen hinsichtlich der Zuverlässigkeit der Algorithmen und der Möglichkeit von Fehlern auf, durch die unschuldige Zivilisten getroffen werden könnten. Wie immer liegt das Übel weder beim Schmied noch beim Hammer oder Messer, das er herstellt, sondern bei der Hand, die das Produkt führt, und dem Zweck, für den es eingesetzt wird.

Meine Meinung

In Europa befinden wir uns selbstverständlich nicht in einer solchen Situation. Die Lage in Israel/Palästina ist eine völlig andere. Auf offizieller Ebene ignorieren wir jedoch, welche technologischen Entwicklungen dort im Hinblick auf soziale Kontrolle und die Militarisierung des Alltags bereits Realität sind. Wenn aber amerikanische und israelische Unternehmen diese Technologien unter solchen Bedingungen ‚ohne Skrupel‘ entwickeln, ist das wie ein Farbkasten: Die EU kann irgendwann das gesamte dystopische Set bestellen – oder nur die Farben des Parchís-Spiels beziehungsweise die Grundfarben. Tatsache ist: Die Technologie existiert bereits, sie wurde getestet und wird Tag für Tag weiter verfeinert.

Europa ist in gewisser Hinsicht eine friedliche Oase – etwa wenn es um bestimmte Pestizide, Farbstoffe, industrielle Verfahren oder Produkte geht, deren Herstellung mit Menschenrechtsverletzungen verbunden ist. In US-Supermärkten finden sich tausende Produkte, die hier nicht zugelassen sind. Doch das ist ein anderes Thema.

Hier geht es um die Ebene, auf der die EU, die USA und andere Staaten mit mehr als 300 Millionen Einwohnern Kontrolle und Vorhersehbarkeit über diejenigen wollen, die sich sozial bewegen. Wenn sie die Kontrolle auf der Ebene geostrategischer Blöcke wie der EU und ihrem Schengen-Raum sowie deren Partnern benötigen, werden sie das vollständige Paket an Technologien zur sozialen Kontrolle von demjenigen verlangen, der es hat. Wenn sie nicht schon damit begonnen haben.

EinleitungWohin geht die Reise in der EU mit „Client-Side Scanning“ (CSS), „EUDI Wallet“ und dem digitalen Euro (CBDC)?
Nächster Beitrag: Die neue EU-Wallet: Schlüssel zur Freiheit oder zur Überwachung?

Die Übersetzung aus dem Spanischen wurde von Kornelia Henrichmann vom ehrenamtlichen Pressenza-Übersetzungsteam erstellt. Wir suchen Freiwillige!