Einmal mehr schließt sich Mailfence mit datenschutzorientierten Unternehmen in ganz Europa zusammen, um Bedenken gegen die vorgeschlagene Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern zu äußern. Die „CSA-Verordung“, abgeleitet vom englischen Begriff Child Sexual Abuse wird umgangssprachlich auch „Chatkontrolle“ genannt. Mit der für Mitte Oktober 2025 geplanten Abstimmung im EU-Rat werden die EU-Mitgliedstaaten aufgefordert, eine offizielle Position zu der Verordnung einzunehmen. Dies ist ein entscheidender Moment für die Zukunft der verschlüsselten Kommunikation und der digitalen Privatsphäre in Europa.
Abgesehen von den ernsten Bedenken hinsichtlich des Datenschutzes und der Verschlüsselung, die wir in unserem ersten gemeinsamen Brief dargelegt haben, stellt diese Gesetzgebung eine erhebliche Bedrohung für die digitale Souveränität Europas dar, und das zu einem Zeitpunkt, an dem sie am dringendsten benötigt wird. Die EU hat einen florierenden Technologiesektor entwickelt, der tragfähige Alternativen zu den amerikanischen Tech-Giganten bietet, insbesondere in den Bereichen datenschutzorientierte Kommunikation, Cloud-Dienste und sichere digitale Infrastruktur.
Die vorgeschlagene CSA-Verordnung birgt jedoch die Gefahr, diesen europäischen Akteuren, die ihren Wettbewerbsvorteil auf einem starken Schutz der Privatsphäre und der Sicherheit aufgebaut haben, ernsthaft zu schaden. Indem sie diese Anbieter, bei denen der Schutz der Privatsphäre an erster Stelle steht, dazu zwingt, ihre Sicherheitsarchitektur zu kompromittieren oder unmögliche Auflagen zu erfüllen, untergräbt die Verordnung effektiv die Wettbewerbsposition des europäischen Technologiesektors und drängt die Nutzenden zurück zu Plattformen, bei denen europäische Werte oder Datenschutzstandards keine Priorität haben.
Dieser zweite offene Brief, der von Mailfence, Tuta und Proton koordiniert wurde, wird von großen, auf Datenschutz fokussierten EU-Unternehmen und Vertretenden von mehr als 45.000 europäischen KMU mitunterzeichnet. Gemeinsam demonstrieren wir die vereinte Opposition von Unternehmen, bei denen die Sicherheit der Nutzenden und der Datenschutz an erster Stelle stehen.
Zweiter offener Brief an die EU-Mitgliedstaaten zur vorgeschlagenen Chatkontrolle
„Sehr geehrte Minister*innen und Botschafter*innen der EU-Mitgliedstaaten,
wir, die unterzeichnenden europäischen Unternehmen, sowie die European DIGITAL SME Alliance – die mehr als 45.000 digitale KMU in ganz Europa vertritt – schreiben Ihnen mit tiefer Besorgnis über die vorgeschlagene Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern (CSA).
Der Schutz von Kindern und die Gewährleistung, dass jede*r Nutzende unserer Dienste und des Internets im Allgemeinen sicher ist, bilden den Kern unserer Mission als datenschutzorientierte Unternehmen. Wir betrachten Privatsphäre als ein Grundrecht, das das Vertrauen, die Sicherheit und die Freiheit im Internet für Erwachsene und Kinder gleichermaßen untermauert. Wir sind jedoch davon überzeugt, dass der derzeitige Ansatz der dänischen Ratspräsidentschaft nicht nur dazu führen wird, dass das Internet für alle unsicherer wird, sondern auch eines der wichtigsten strategischen Ziele der EU untergräbt: Fortschritte auf dem Weg zu einem höheren Maß an digitaler Souveränität.
Digitale Souveränität ist die strategische Zukunft Europas
In einer zunehmend instabilen Welt muss Europa in der Lage sein, seine eigene sichere digitale Infrastruktur, Dienste und Technologien im Einklang mit europäischen Werten zu entwickeln und zu kontrollieren. Die einzige Möglichkeit, diese Risiken zu mindern, liegt in der Unterstützung innovativer europäischer Technologieanbieter.
Die digitale Souveränität ist aus zwei wesentlichen Gründen wichtig:
- Wirtschaftliche Unabhängigkeit: Die digitale Zukunft Europas hängt von der Wettbewerbsfähigkeit seiner eigenen Unternehmen ab. Aber europäische Dienste dazu zu zwingen, ihre Sicherheitsstandards auszuhöhlen, indem sie alle Nachrichten – selbst verschlüsselte – mithilfe von clientseitigem Scannen überprüfen, würde die Sicherheit der Nutzenden im Internet untergraben und sich gegen die hohen europäischen Datenschutzstandards richten. Daher werden europäische Nutzende – sowohl Privatpersonen als auch Unternehmen – und globale Kund*innen das Vertrauen in unsere Dienste verlieren und sich ausländischen Anbietern zuwenden. Dadurch würde Europa noch abhängiger von amerikanischen und chinesischen Tech-Giganten werden, die sich derzeit nicht an unsere Regeln halten, und somit unsere Wettbewerbsfähigkeit im Ganzen unterminieren.
- Nationale Sicherheit: Verschlüsselung ist für die nationale Sicherheit unerlässlich. Wer etwas vorschreibt, das im Grunde auf Hintertüren oder andere Scanning-Technologien hinausläuft, schafft unweigerlich Schwachstellen, die von feindlichen staatlichen Akteuren und Kriminellen ausgenutzt werden können und werden. Aus genau diesem Grund haben sich die Regierungen von der vorgeschlagenen Verpflichtung zur Chatkontrolle ausgenommen. Dennoch werden viele sensible Informationen von Unternehmen, Politiker*innen und Bürger*innen gefährdet sein, sollte die CSA-Verordnung durchgesetzt werden. Sie wird die Fähigkeit Europas schwächen, seine kritische Infrastruktur, seine Unternehmen und seine Bürger*innen zu schützen.
Die CSA-Verordnung wird das Vertrauen in europäische Unternehmen untergraben
Vertrauen ist der Wettbewerbsvorteil Europas. Dank der DSGVO und des starken europäischen Datenschutzrahmens haben europäische Unternehmen Dienste entwickelt, auf die sich Nutzende weltweit in Bezug auf Datenschutz, Sicherheit und Integrität verlassen. Dieser Ruf wurde hart erarbeitet und verschafft den in Europa ansässigen Diensten ein Alleinstellungsmerkmal, mit dem die Big-Tech-Monopole niemals mithalten können. Dies ist einer der wenigen – wenn nicht sogar der einzige – Wettbewerbsvorteile, die Europa gegenüber den USA und China im Technologiesektor hat, aber die Chatkontrolle droht, diesen Erfolg zunichte zu machen.
Dieser Gesetzestext würde die europäischen ethischen und datenschutzorientierten Dienste untergraben, indem er sie zwingt, genau die Sicherheitsgarantien zu schwächen, die europäische Unternehmen auf internationaler Ebene unterscheiden. Dies ist besonders problematisch in einem Kontext, in dem die US-Regierung ihren Unternehmen ausdrücklich verbietet, die Verschlüsselung zu schwächen, selbst wenn sie durch EU-Recht dazu verpflichtet sind.1
Letztendlich wird die Chatkontrolle ein Segen für Unternehmen aus den USA und China sein, denn sie wird Europa seinen einzigen Wettbewerbsvorteil nehmen und die Türen für Big Tech noch weiter öffnen.
Widersprüche schwächen Europas digitale Ambitionen
Die EU hat sich verpflichtet, die Cybersicherheit durch Maßnahmen wie die NIS2, die Cyberresilienz-Verordnung und den Rechtsakt zur Cybersicherheit zu stärken.2 Diese Maßnahmen erkennen Verschlüsselung als wesentlich für die digitale Unabhängigkeit Europas an. Die Chatkontrolle sollte diese Errungenschaften nicht untergraben, indem sie effektiv systemische Schwachstellen vorschreibt.
Es ist inkohärent, wenn Europa einerseits in die Cybersicherheit investiert, während es andererseits Gesetze dagegen erlässt.
Europäische KMU wird es am härtesten treffen
Kleine und mittlere Unternehmen (KMU) wären am stärksten betroffen, wenn sie verpflichtet würden, clientseitige Scans einzuführen. Im Gegensatz zu großen Technologiekonzernen verfügen KMU oft nicht über die finanziellen und technischen Ressourcen, um übergriffige Überwachungsmechanismen zu entwickeln und aufrechtzuerhalten, was bedeutet, dass die Einhaltung der Vorschriften ihnen untragbare Kosten auferlegen oder sie zum Marktaustritt zwingen würde. Noch dazu kommt, dass viele KMU ihre einzigartige Marktposition darauf aufbauen, ein Höchstmaß an Datenschutz und Privatsphäre zu bieten. Insbesondere in Europa ist das für viele ein entscheidender Faktor dafür, deren Produkte denen von Big Tech vorzuziehen. Eine Verpflichtung zum clientseitigen Scannen würde dieses zentrale Wertversprechen vieler europäischer Unternehmen unterminieren.
Dies wird die europäische Innovation ersticken und die Dominanz ausländischer Anbieter festigen. Anstatt ein lebendiges, unabhängiges digitales Ökosystem aufzubauen, riskiert Europa, seine eigenen Unternehmen aus dem Markt zu drängen.
Aus diesen Gründen appellieren wir an Sie:
- Lehnen Sie Maßnahmen ab, die die Einführung von clientseitigem Scannen, Hintertüren oder die massenhafte Überwachung privater Kommunikation erzwingen würden, wie wir sie derzeit im dänischen Vorschlag für einen Standpunkt des Rates zur Chatkontrolle sehen.
- Schützen Sie die Verschlüsselung, um die europäische Cybersicherheit und digitale Souveränität zu stärken.
- Halten Sie das Vertrauen aufrecht, das europäische Unternehmen international aufgebaut haben.
- Stellen Sie sicher, dass die EU-Regulierung die Wettbewerbsfähigkeit der europäischen KMU stärkt und nicht untergräbt.
- Verfolgen Sie Maßnahmen zum Schutz von Kindern, die wirksam und verhältnismäßig sind und sich mit Europas strategischem Ziel der digitalen Souveränität vereinen lassen.
Digitale Souveränität kann nicht erreicht werden, wenn Europa die Sicherheit und Integrität seiner eigenen Unternehmen untergräbt, indem es clientseitiges Scannen oder andere ähnliche Instrumente oder Methoden vorschreibt, mit denen verschlüsselte Umgebungen gescannt werden sollen: Wie Technolog*innen erneut bestätigt haben, ist dies nicht möglich, ohne die Verschlüsselung zu schwächen oder zu untergraben.
Um in der globalen digitalen Wirtschaft führend zu sein, muss die EU die Privatsphäre, das Vertrauen und die Verschlüsselung schützen.“
| Unterzeichnende: | ||
| Blacknight (Irland) | Logilab (Frankreich) | Skylabs (Irland) |
| Commown (Frankreich) | mailbox (Deutschland) | Sorware Ay (Finnland) |
| CryptPad (Frankreich) | Mailfence (Belgien) | Soverin (Niederlande) |
| Ecosia (Deutschland) | Mailo (Frankreich) | Startmail (Niederlande) |
| Element (Deutschland) | moji (Frankreich) | Surfshark (Niederlande) |
| E-Foundation (Frankreich) | Murena (Frankreich) | TeleCoop (Frankreich) |
| European DIGITAL SME Alliance (Europa) | Nextcloud (Deutschland) | The Good Cloud (Niederlande) |
| Anwaltskanzlei Fabiano (Italien) | Nord Security (Litauen) | Tuta Mail (Deutschland) |
| FlokiNET (Island) | Octopuce (Frankreich) | Unicorns Lithuania (Litauen) |
| FFDN (Frankreich) | Olvid (Frankreich) | Volla Systeme GmbH (Deutschland) |
| Gentils Nuages (Frankreich) | OpenCloud (Deutschland) | WEtell (Deutschland) |
| Hashbang (Frankreich) | OpenTalk (Deutschland) | Wire (Schweiz) |
| Heinlein Gruppe (Deutschland) | Phoenix R&D (Deutschland) | XWiki SAS (Frankreich) |
| LeBureau.coop (Frankreich) | Proton (Schweiz) | zeitkapsl (Österreich) |
2 https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age_de
