Logo
  • Home
  • Service
  • Über LLH
  • FAQ
  • Kontakt
  • English
  • Русский
  • E-Mail-Tracking und Datenschutz: Frankreichs CNIL verlangt ab Juli 2026 ausdrückliche Einwilligung für Marketing-Tracking

    17.07.2026

    Worum es geht

    Tracking-Pixel sind winzige, meist unsichtbare Bilder, die nicht in der E-Mail selbst enthalten sind, sondern beim Öffnen der Nachricht von einem entfernten Server nachgeladen werden. Über die individualisierte Bild-URL erfährt der Absender, ob, wann und auf welchem Gerät eine E-Mail geöffnet wurde. Die französische Datenschutzbehörde CNIL hat hierzu ihre finale „Recommendation on tracking pixels in emails“ veröffentlicht und stellt klar: Das Auslesen dieser Informationen ist ein Lese-/Schreibvorgang auf dem Endgerät des Empfängers im Sinne von Art. 82 des französischen Datenschutzgesetzes (Loi Informatique et Libertés), der Art. 5 Abs. 3 der ePrivacy-Richtlinie umsetzt. Die CNIL folgt damit ausdrücklich den EDPB Guidelines 2/2023 zum technischen Anwendungsbereich der ePrivacy-Richtlinie.

    In der Empfehlung heißt es wörtlich, die Einbindung von Tracking-Pixeln stelle „an instruction given to the user’s terminal to return targeted information“ dar – also eine Anweisung an das Endgerät, gezielt Informationen (Pixel-Kennung, IP-Adresse etc.) zurückzusenden. Die Konsequenz: Grundsätzlich ist eine vorherige, freie, spezifische, informierte und unmissverständliche Einwilligung des Empfängers erforderlich, sofern keine Ausnahme greift.

    Die Regeln gelten seit Mitte Juli 2026 für Empfänger in Frankreich. Die italienische Aufsichtsbehörde zieht mit vergleichbaren Anforderungen im Oktober 2026 nach; Beobachter erwarten, dass weitere EU-Aufsichtsbehörden dem CNIL-Ansatz folgen werden – die Position beruht auf den EDPB-Guidelines und ist damit unionsweit anschlussfähig.

    Was ist daran eigentlich neu?
    Wichtig für die Einordnung: Die Einwilligungspflicht als solche ist nicht neu. Art. 5 Abs. 3 ePrivacy-Richtlinie gilt seit Langem technologieneutral für jeden Zugriff auf Endeinrichtungen; in Deutschland regelt § 25 TDDDG dasselbe, und dass personenbezogenes Newsletter-Tracking hierunter fällt, entspricht seit den EDPB Guidelines 2/2023 der gefestigten europäischen Auffassung. Viele Unternehmen holen deshalb bereits heute eine Einwilligung ein, häufig allerdings als pauschalen Satz im Newsletter-Anmeldetext („Wir werten Öffnungs- und Klickraten aus, um unsere Inhalte zu verbessern“), mitgekoppelt mit der Werbeeinwilligung.
    Genau hier setzt die CNIL an: Die Empfehlung schafft kein neues Recht, sondern definiert erstmals verbindlich-konkret, wie Einwilligungstexte, Anmeldeformulare und Datenschutzerklärungen für E-Mail-Tracking auszugestalten sind. Neu ist im Einzelnen:

    Granularität statt Pauschaleinwilligung.

    Eine Sammeleinwilligung „Newsletter inkl. Tracking“ genügt nicht mehr. Jeder Tracking-Zweck (Kampagnenoptimierung, Profilbildung, Betrugserkennung) braucht eine eigene, aktive Opt-in-Handlung – mit kurzem Titel und knapper Beschreibung je Zweck; die CNIL liefert hierfür wörtliche Musterformulierungen (Abschnitt 4.1). Nur eng verwandte Zwecke dürfen gebündelt werden, etwa ausdrücklich als personalisiert beworbene Direktwerbung samt der dafür eingesetzten Pixel.


    Der Cookie-Banner ist kein geeigneter Ort.

    Die CNIL stellt in einem eigenen Hinweis klar, dass die Einwilligung über eine Consent-Management-Platform auf der Website problematisch ist: Der Nutzer versteht dort nicht, dass seine Wahl eine andere Umgebung – sein E-Mail-Postfach – und eine konkrete E-Mail-Adresse betrifft; damit fehlt es an der Informiertheit. Der richtige Ort ist das Newsletter-Anmeldeformular selbst, bei Erhebung der E-Mail-Adresse.


    Konkrete Vorgaben zur Datenminimierung.

    Für die einwilligungsfreie Deliverability-Messung darf nur noch das taggenaue Datum der letzten Öffnung gespeichert werden – ohne Uhrzeit, ohne Historie, überschreibend. Wer heute vollständige Öffnungsprotokolle vorhält, muss seine Systeme anpassen.


    Konkrete Vorgaben zum Widerruf.

    Widerrufslink im Footer jeder E-Mail, Widerruf ohne erneute Adresseingabe, Wirksamkeit auch für bereits versandte E-Mails beim erneuten Öffnen.


    Anpassungspflicht für die Datenschutzerklärung.

    Auch einwilligungsfreie Pixel (Deliverability, Authentifizierung, Compliance-Nachweis) sollen als Good Practice in der Datenschutzerklärung transparent gemacht werden.
    Für die Praxis bedeutet das: Der Umsetzungsaufwand liegt weniger im „Ob“ der Einwilligung als in der Überarbeitung der bestehenden Einwilligungstexte, Anmeldestrecken und Datenschutzerklärungen – weg vom Pauschalsatz, hin zu zweckgetrennten, aktiv anzuklickenden Einwilligungen mit dokumentiertem Nachweis.

    Einwilligungspflichtige Zwecke


    Nach Abschnitt 3.1 der Empfehlung ist die Einwilligung des Empfängers insbesondere für folgende Zwecke erforderlich:
    Kampagnenoptimierung und Performance-Messung. Die Analyse der Öffnungsrate, um Kampagnen zu messen und zu optimieren – etwa durch Personalisierung von Inhalten, Anpassung der Versandfrequenz oder Wahl des Kommunikationskanals (E-Mail, SMS, Push) – erfordert ein Opt-in. Darunter fällt auch die Send-Time-Optimierung anhand individueller Öffnungszeiten.
    Profilbildung. Die Erstellung von Empfängerprofilen anhand beobachteter Präferenzen und Interessen, um Personen außerhalb des E-Mail-Kanals anzusprechen (Websites, Apps, andere Kanäle), ist einwilligungspflichtig. Dazu gehören klassische Praktiken wie Follow-up-Kampagnen an Öffner bzw. Nicht-Öffner oder das Auslösen der nächsten E-Mail einer Serie durch eine Öffnung.
    Betrugserkennung zugunsten des Absenders. Auch die Erkennung und Analyse verdächtiger Aktivitäten – etwa massenhafte automatisierte Öffnungen bei Gewinnspielen oder Anzeichen für Ad-Fraud – setzt eine Einwilligung voraus.
    Individuelle Öffnungsmessung außerhalb der Zustellbarkeits-Ausnahme. Die individuelle Messung der Öffnungsrate zu Zustellbarkeitszwecken ist nur in den engen Grenzen von Abschnitt 3.2 einwilligungsfrei (dazu sogleich); darüber hinaus gilt die Einwilligungspflicht.

    Einwilligungsfreie Zwecke

    Abschnitt 3.2 der Empfehlung nennt Zwecke, für die Pixel – bei ausschließlicher Nutzung hierfür – ohne Einwilligung eingesetzt werden dürfen:

    Sicherheitsmaßnahmen im Rahmen der Nutzerauthentifizierung, etwa die Prüfung, ob eine E-Mail mit einem Authentifizierungscode tatsächlich auf einem dem Nutzer zugeordneten Endgerät geöffnet wird.

    Individuelle Öffnungsmessung zu Zustellbarkeitszwecken (Deliverability). Die CNIL erkennt an, dass die Verwaltung von Verteilerlisten Öffnungsstatistiken praktisch voraussetzt. Der Verantwortliche muss aber nachweisen können, dass die Verarbeitung auf das strikt Erforderliche beschränkt ist – konkret auf die Anpassung der Frequenz oder die Einstellung des Versands an inaktive Empfänger (Datenbankbereinigung). Unter diesem Vorbehalt sind zusätzlich zulässig: die Bewertung und Anpassung des Kommunikationskanals (Wahl alternativer Kontaktwege) sowie der Nachweis der Erfüllung gesetzlicher Informationspflichten (z. B. Zugang gesetzlich vorgeschriebener Mitteilungen im Rahmen eines Vertragsverhältnisses).

    Hierbei greift eine strenge Datenminimierung: Gespeichert werden darf grundsätzlich nur das Datum der letzten bekannten Öffnung – taggenau, ohne Uhrzeit – wobei jede neue Öffnung den vorherigen Eintrag überschreibt. Eine Historie des Öffnungsverhaltens ist unzulässig.

    Aggregierte, anonymisierte Öffnungsraten. Die Weiterverwendung wirksam anonymisierter Daten begründet nach der Empfehlung keinen zusätzlichen Eingriff im Sinne von Art. 82; die DSGVO bleibt auf den Anonymisierungsvorgang selbst anwendbar.

    Wichtig: Die Ausnahmen gelten nur für E-Mails, die der Empfänger angefordert hat oder die sich auf einen von ihm angeforderten Dienst beziehen – insbesondere transaktionale E-Mails (Bestellbestätigungen, Versandbenachrichtigungen, Passwort-Resets, Terminbestätigungen etc.) sowie E-Mails der öffentlichen Verwaltung im Rahmen ihres öffentlichen Auftrags. Die CNIL weist zudem darauf hin, dass das Einwilligungsregime für Pixel unabhängig von dem für den E-Mail-Versand selbst ist: Auch für E-Mails, die ohne Einwilligung versandt werden dürfen (z. B. Bestandskundenwerbung), kann für den Pixel-Einsatz eine gesonderte Einwilligung erforderlich sein.

    Wie Unternehmen die Vorgaben umsetzen können

    Im Kern läuft die Umsetzung auf drei Dokumenten- bzw. Prozessanpassungen hinaus: das Newsletter-Anmeldeformular mit seinen Einwilligungstexten, die Datenschutzerklärung und der Widerrufs-/Präferenzprozess. Im Einzelnen:

    1. Audit des Ist-Zustands. Zunächst sollte inventarisiert werden, welche Tracking-Pixel im Einsatz sind, wer sie setzt (eigener Versand, E-Mail-Service-Provider, Drittanbieter-Technologie) und für welche Zwecke die Öffnungsdaten tatsächlich verwendet werden. Die CNIL verlangt, dass jeder Akteur seine Rolle bestimmt: Der Absender ist regelmäßig Verantwortlicher (auch bei ausgelagertem Versand), der E-Mail-Service-Provider in der Regel Auftragsverarbeiter; nutzen Listenvermieter oder Technologieanbieter die Daten auch für eigene Zwecke, kommt gemeinsame Verantwortlichkeit nach Art. 26 DSGVO in Betracht – mit entsprechender Vereinbarungspflicht.

    2. Granulare Einwilligung einholen – idealerweise bei der Adresserhebung. Die CNIL empfiehlt, die Einwilligung zum Pixel-Einsatz bereits bei Erhebung der E-Mail-Adresse einzuholen, also im Anmeldeformular. Jeder Zweck ist mit kurzem Titel und knapper Beschreibung darzustellen; die Empfehlung enthält hierfür konkrete Formulierungsbeispiele. Die Einwilligung muss grundsätzlich zweckgetrennt erteilt werden können – pro Zweck eine eigene, nicht vorangekreuzte Checkbox. Bei zweistufigen Einwilligungslösungen ist eine Gesamteinwilligung auf der ersten Ebene nur zulässig, wenn auf der zweiten Ebene zweckbezogen (oder nach verwandten Zweckfamilien) gewählt werden kann. Eine einzige Einwilligung für Direktwerbung und Pixel ist nur ausnahmsweise möglich, wenn die Zwecke eng verbunden sind – etwa ausdrücklich als personalisiert beworbenes Marketing samt der dafür eingesetzten Pixel.

    3. Nachträgliche Einholung über pixel-freie E-Mail. Konnte die Einwilligung nicht bei der Adresserhebung eingeholt werden, kann sie per E-Mail nachgeholt werden – diese E-Mail darf selbst keinen einwilligungspflichtigen Tracker enthalten. Der Link sollte auf eine Seite führen, auf der die Person eine aktive Handlung vornimmt (Button-Klick), um ungewollte „Einwilligungen“ durch automatisches Vorladen von Links durch E-Mail-Clients zu vermeiden. Inaktivität ist als Ablehnung zu werten. Als Good Practice nennt die CNIL, abgelehnte Empfänger für mindestens sechs Monate nicht erneut zu ersuchen.

    4. Widerruf so einfach wie die Erteilung. Die CNIL empfiehlt einen individualisierten Link im Footer jeder E-Mail, der zu einer Seite führt, auf der der Widerruf ohne weitere Hürden möglich ist – insbesondere ohne erneute Eingabe der E-Mail-Adresse. Der Widerruf muss effektiv sein: Auch bereits gesetzte Pixel dürfen bei erneutem Öffnen alter E-Mails nicht mehr ausgewertet werden.

    5. Nachweis der Einwilligung. Nach Art. 7 Abs. 1 DSGVO muss die Einwilligung jederzeit individualisiert nachweisbar sein. Wird die Einwilligung durch Dritte (etwa Adresshändler) eingeholt, genügt eine bloße Vertragsklausel nicht – der Vertrag kann aber Nachweismechanismen, Aufbewahrung und regelmäßige Audits regeln. Die Haftung des Verantwortlichen bleibt bestehen, wenn der Dritte den Nachweis nicht erbringen kann.

    6. Übergangsregelung für Bestandsadressen. Für bereits erhobene Adressen darf das Tracking zunächst fortgeführt werden, sofern die Empfänger innerhalb von grundsätzlich drei Monaten ab Veröffentlichung der Empfehlung klar und zugänglich informiert werden und der Nutzung für künftige E-Mails widersprechen können. Praktisch bedeutete das: Wer Bestandsabonnenten (Anmeldung vor dem 14. April 2026) nicht bis zum 14. Juli 2026 informiert und ihnen eine Opt-out-Möglichkeit gegeben hat, muss die Einwilligung nun aktiv auf Opt-in-Basis einholen. Für Adressen, die nach dem 14. April 2026 und vor Go-live des neuen Opt-in-Prozesses erhoben wurden, gilt von vornherein das Opt-in-Erfordernis wie bei Neuabonnenten.

    7. Transparenz auch für einwilligungsfreie Pixel. Art. 82 verlangt für einwilligungsfreie Nutzungen keine gesonderte Information; die CNIL empfiehlt aber als Good Practice, sie in der Datenschutzerklärung offenzulegen.

    Was passiert bei Nichtumsetzung?

    Die Empfehlung selbst ist formal nicht bindend („neither regulatory nor exhaustive“), konkretisiert aber verbindliches Recht: Art. 82 Loi Informatique et Libertés und damit Art. 5 Abs. 3 ePrivacy-Richtlinie. Verstöße gegen Art. 82 kann die CNIL unmittelbar sanktionieren – und tut dies seit Jahren konsequent: Die Cookie-Bußgelder gegen Google (insgesamt 150 Mio. €) und Amazon (35 Mio. €) beruhten auf genau dieser Norm; der Bußgeldrahmen reicht bis zu 20 Mio. € bzw. 4 % des weltweiten Jahresumsatzes. Da die CNIL nach eigener Aussage zunehmend Beschwerden zu E-Mail-Pixeln erhält, ist mit aufsichtsbehördlicher Durchsetzung zu rechnen. Hinzu kommen zivilrechtliche Risiken (Betroffenenrechte, Schadensersatz nach Art. 82 DSGVO) und – bei nachgelagerter Datenverarbeitung ohne Rechtsgrundlage – parallele DSGVO-Verstöße, denn die Empfehlung stellt klar, dass jede Folgeverarbeitung der über Pixel gewonnenen Daten zusätzlich den DSGVO-Anforderungen genügen muss.

    Neben dem rechtlichen Risiko spricht auch die Praxis für eine Neuausrichtung: Seit Apples Mail Privacy Protection sind Öffnungsdaten ohnehin nur noch eingeschränkt belastbar, und seit November 2025 sind die gemessenen Gmail-Öffnungsraten infolge verschärfter Anforderungen an Massenversender um rund 30 % eingebrochen. Marketingfachleute verlagern Erfolgsmessung und Segmentierung daher zunehmend auf Klicks, Conversions, Website-Aktivität und Zero-Party-Daten (Präferenzzentren) – Signale, die zugleich datenschutzrechtlich robuster ausgestaltet werden können.

  • Chatkontrolle: Was die Entscheidung des EU-Parlaments für die Vertraulichkeit unserer Kommunikation bedeutet

    09.07.2026

    9. Juli 2026 – Das Europäische Parlament hat heute den Weg für die Neuauflage der sogenannten „freiwilligen Chatkontrolle” freigemacht. Hinter dem sperrigen Begriff steht eine Frage, die jeden betrifft, der ein Smartphone nutzt: Dürfen private Nachrichten automatisiert durchsucht werden, ohne dass ein konkreter Verdacht besteht? Wir erklären, worum es rechtlich geht und welche Folgen die Entscheidung für Grundrechte, Unternehmen und Bürger hat.

    Die Entscheidung

    Das Parlament hat die Neuauflage der Übergangsregelung passieren lassen. Damit dürfen Anbieter von Messenger-, E-Mail- und Hostingdiensten private, unverschlüsselte Kommunikation wieder freiwillig und automatisiert auf Darstellungen sexuellen Kindesmissbrauchs (CSAM) durchsuchen – abweichend von den Vorgaben der ePrivacy-Richtlinie, die die Vertraulichkeit elektronischer Kommunikation eigentlich streng schützt. Die Regelung gilt bis 2028 oder bis zu einer Einigung auf die dauerhafte CSA-Verordnung.

    Immerhin: Ende-zu-Ende-verschlüsselte Kommunikation wurde ausdrücklich vom Anwendungsbereich ausgenommen. Praktisch ändert das wenig – verschlüsselte Inhalte konnten und können Anbieter ohnehin nicht mitlesen –, rechtlich ist die Klarstellung aber ein wichtiges Signal für den Schutz der Verschlüsselung, das auch die europäischen Datenschutzaufsichtsbehörden seit Jahren einfordern.

    Worum geht es eigentlich? „Chatkontrolle 1.0” und „2.0”

    Unter dem Schlagwort „Chatkontrolle” werden zwei verschiedene Regelungsvorhaben zusammengefasst, die rechtlich sauber getrennt werden müssen:

    Die „Chatkontrolle 1.0” ist die befristete Verordnung (EU) 2021/1232 (Interim-Verordnung). Sie erlaubte es Anbietern wie Meta, Google oder Microsoft, freiwillig und in Abweichung von der ePrivacy-Richtlinie unverschlüsselte Nachrichten und Dateien automatisiert auf bekanntes Missbrauchsmaterial zu scannen. Diese Ausnahme lief Anfang April 2026 aus. Ihre Neuauflage – befristet bis 2028 – hat das Parlament heute passieren lassen.

    Die „Chatkontrolle 2.0” ist die weitergehende CSA-Verordnung, die die EU-Kommission im Mai 2022 vorgeschlagen hat. Sie würde Anbieter auf Grundlage behördlicher „Aufdeckungsanordnungen” zum Scannen verpflichten – nach dem ursprünglichen Entwurf auch bei Ende-zu-Ende-verschlüsselten Diensten mittels Client-Side-Scanning, also der Prüfung von Inhalten direkt auf dem Endgerät vor der Verschlüsselung. Über diese Verordnung verhandeln Parlament, Rat und Kommission weiterhin im Trilog. Die heutige Entscheidung betrifft sie nicht unmittelbar – sie zeigt aber, in welche Richtung sich die europäische Debatte über die Vertraulichkeit digitaler Kommunikation entwickelt.

    Wichtig zum Verständnis: „Freiwillig” bedeutet in diesem Zusammenhang nicht, dass Nutzerinnen und Nutzer dem Scannen zustimmen. Freiwillig ist die Entscheidung allein für den Anbieter – wessen Nachrichten durchsucht werden, entscheidet nicht die betroffene Person und auch keine unabhängige Stelle.

    Die grundrechtliche Dimension: Warum das Scannen privater Kommunikation so heikel ist

    Der Schutz von Kindern vor sexualisierter Gewalt ist ein Ziel von überragender Bedeutung – daran besteht kein Zweifel, und keine seriöse datenschutzrechtliche Kritik stellt dieses Ziel in Frage. Die rechtliche Frage lautet vielmehr: Ist das anlasslose Durchsuchen der Kommunikation aller Nutzer ein verhältnismäßiges Mittel?

    Betroffen sind zentrale Grundrechte:

    Die Vertraulichkeit der Kommunikation ist Teil des Rechts auf Achtung des Privatlebens nach Art. 7 der EU-Grundrechtecharta; hinzu kommt das Recht auf Schutz personenbezogener Daten nach Art. 8 GRCh. In Deutschland schützt zudem Art. 10 GG das Fernmeldegeheimnis – das digitale Pendant zum Briefgeheimnis.

    Der Europäische Gerichtshof hat in ständiger Rechtsprechung (u. a. Digital Rights Ireland, Tele2 Sverige/Watson, La Quadrature du Net) enge Grenzen für anlasslose Überwachungsmaßnahmen gezogen. Besonders relevant: Maßnahmen, die Behörden einen generalisierten Zugriff auf Kommunikationsinhalte eröffnen, können nach dieser Rechtsprechung den Wesensgehalt der Grundrechte aus Art. 7 und 8 GRCh berühren – also jenen Kernbereich, der auch durch legitime Ziele nicht angetastet werden darf.

    Genau hier setzt die Kritik des Europäischen Datenschutzausschusses (EDSA) und des Europäischen Datenschutzbeauftragten (EDPS) an. In ihrer Gemeinsamen Stellungnahme 04/2022 zur CSA-Verordnung kommen beide Institutionen zu dem Ergebnis, dass insbesondere die Erkennung unbekannten Materials und von „Grooming” wegen ihrer Eingriffstiefe, ihres probabilistischen Charakters und der Fehlerquoten der eingesetzten Technologien über das erforderliche und verhältnismäßige Maß hinausgeht. Zur Verschlüsselung fordern EDSA und EDPS ausdrücklich eine gesetzliche Klarstellung, dass nichts in der Verordnung als Verbot oder Schwächung von Verschlüsselung ausgelegt werden darf (Joint Opinion 04/2022, sinngemäß aus dem Englischen). Denn Ende-zu-Ende-Verschlüsselung garantiert technisch, dass ausschließlich Absender und Empfänger Inhalte lesen können – jede Scan-Infrastruktur, ob serverseitig oder auf dem Endgerät, durchbricht dieses Versprechen strukturell und schafft Sicherheitslücken, die auch Kriminelle und fremde Staaten ausnutzen können.

    Was sagt die deutsche Datenschutzaufsicht? Die Position der BfDI

    Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat sich wiederholt und deutlich positioniert. Das Ziel der Missbrauchsbekämpfung sei „überaus wichtig und grundsätzlich zu unterstützen” – der EU-Gesetzgeber schieße mit seinem Vorschlag jedoch „deutlich über das verfolgte Ziel hinaus”. Die Chatkontrolle biete kaum Schutz für Kinder, wäre aber „Europas Einstieg in eine anlasslose und flächendeckende Überwachung der privaten Kommunikation”.

    Drei Punkte der BfDI-Analyse verdienen besondere Beachtung:

    Kein Schutz für Berufsgeheimnisträger: Von den geplanten Scan-Pflichten der CSA-Verordnung sind keine Ausnahmen vorgesehen – auch nicht für die Kommunikation zwischen Anwältin und Mandant oder Arzt und Patientin. Das gesetzlich geschützte Berufsgeheimnis (§ 203 StGB, § 43a BRAO) würde faktisch ausgehöhlt.

    Untragbare Fehlerquoten: Die eingesetzten Erkennungstechnologien weisen nach den Feststellungen der BfDI teils Fehlerquoten von bis zu 12 % auf. Bei einem Dienst wie WhatsApp mit rund zwei Milliarden Nutzern könnten so bis zu 240 Millionen Menschen zu Unrecht der Verbreitung von Missbrauchsmaterial verdächtigt werden. Auch EDSA und EDPS betonen: Selbst eine sehr niedrige Falsch-Positiv-Rate führt angesichts des Kommunikationsvolumens zu einer enormen absoluten Zahl von Falschverdächtigungen – mit gravierenden Folgen für die Betroffenen.

    Schwache Rolle der Aufsicht: Datenschutzbehörden sollen vor dem Technologieeinsatz lediglich unverbindliche Stellungnahmen abgeben können; eine laufende Kontrolle ist nicht vorgesehen. Bei Grundrechtseingriffen dieser Schwere hält die BfDI das für unzureichend.

    Konsequenzen für Tech-Unternehmen

    Für Anbieter von Kommunikations- und Hostingdiensten hat die heutige Entscheidung unmittelbare Compliance-Relevanz:

    Rechtsgrundlage wiederhergestellt: Anbieter erhalten wieder eine unionsrechtliche Grundlage für das freiwillige Scannen unverschlüsselter Inhalte – verbunden mit den Bedingungen und Meldepflichten der Übergangsverordnung. „Freiwillig” heißt dabei: Die Entscheidung, ob und wie gescannt wird, liegt beim Anbieter, nicht bei einer Behörde und nicht beim Nutzer. Unternehmen, die scannen, müssen Transparenzpflichten (Art. 13, 14 DSGVO), Betroffenenrechte und die Grundsätze der Datenminimierung beachten; das Fehlalarm-Risiko bleibt ein erhebliches Haftungs- und Reputationsthema.

    Die Lücke zwischen April und Juli bleibt heikel: Anbieter, die nach dem Auslaufen der alten Regelung im April weitergescannt haben, taten dies ohne unionsrechtliche Ausnahme – für diesen Zeitraum bestehen datenschutzrechtliche Risiken fort, die durch die heutige Entscheidung nicht rückwirkend geheilt werden.

    Für Ende-zu-Ende-verschlüsselte Dienste ändert die Entscheidung nichts – die Übergangsregelung nimmt verschlüsselte Kommunikation nun sogar ausdrücklich aus. Die eigentliche Richtungsentscheidung fällt im Trilog zur CSA-Verordnung. Unternehmen sollten jetzt prüfen, welche ihrer Kommunikationskanäle tatsächlich Ende-zu-Ende-verschlüsselt sind, welche Daten bei Anbietern liegen, die freiwillig scannen, und ob interne wie externe vertrauliche Kommunikation (etwa mit Rechtsberatern) über geeignete Kanäle läuft.

    Konsequenzen für Bürgerinnen und Bürger

    Für die rund 450 Millionen Menschen in der EU bedeutet anlassloses Scannen: Private Nachrichten, Familienfotos, intime Kommunikation werden algorithmisch durchsucht, ohne dass ein konkreter Verdacht besteht – so, als würde jeder Brief vor dem Zustellen geöffnet. Wer fälschlich als Treffer markiert wird, dessen Daten können an Meldestellen und Strafverfolgungsbehörden gelangen, mit allen Belastungen, die ein solcher Verdacht mit sich bringt. EDSA und EDPS warnen zudem vor einem Abschreckungseffekt („chilling effect”) auf die freie Kommunikation: Wer damit rechnen muss, mitgelesen zu werden, kommuniziert anders – das trifft besonders Journalisten, Whistleblower und Menschen in sensiblen Lebenslagen.

    Ausblick

    Die heutige Abstimmung ist nur eine Etappe. Die entscheidende Auseinandersetzung um die verpflichtende Chatkontrolle – einschließlich der Frage, ob Ende-zu-Ende-Verschlüsselung angetastet werden darf – wird im Trilog zur CSA-Verordnung geführt; die Verhandlungen werden im September fortgesetzt. Die Rechtsprechung des EuGH setzt dem Gesetzgeber dabei enge Grenzen; sollte eine anlasslose Scan-Pflicht kommen, ist mit gerichtlichen Verfahren bis hin zum EuGH fest zu rechnen. Wirksamer Kinderschutz und der Schutz der vertraulichen Kommunikation sind kein Widerspruch – zielgerichtete, anlassbezogene und verhältnismäßige Maßnahmen können beides verbinden. Genau das mahnen die Datenschutzaufsichtsbehörden Europas seit 2022 an.

    Sie haben Fragen dazu, was die neue Rechtslage für Ihre Kommunikationsdienste, Ihre internen Prozesse oder Ihre Datenschutz-Compliance bedeutet? Das Team des Legal Living Hub berät Sie gern – praxisnah, verständlich und auf dem aktuellen Stand der europäischen Gesetzgebung.

    Quellen: Verordnung (EU) 2021/1232; Vorschlag COM(2022) 209 final (CSA-Verordnung); EDPB-EDPS Joint Opinion 04/2022 vom 28.07.2022; BfDI, Fachthema „Die geplante EU-Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern”; Abstimmungsergebnisse des Europäischen Parlaments vom 11.03., 26.03. und 07.07.2026.

© 2025 Olga Weidenkeller | Legal Living Hub

  • Impressum
  • Datenschutzhinweise
Cookie-Einstellungen
Legal Living Hub verwendet Cookies, damit die Webseite zuverlässig funktioniert und wir Informationen für statistische Auswertungen sammeln können. Du kannst deine Cookie-Einstellungen jederzeit im Footer der Webseite ändern. Mehr Informationen findest du in unseren Datenschutzhinweisen.