EU-Überwachungslandschaft - Von frühen Plänen bis Chat Control 2.0

Deutschland nimmt in der europäischen Überwachungsdebatte eine paradoxe Position ein: Das Bundesverfassungsgericht fungiert als Europas schärfster Wächter gegen Massenüberwachung, während gleichzeitig deutsche Sicherheitsbehörden wiederholt versuchen, expansive Überwachungsbefugnisse durchzusetzen. Jene institutionelle Spannung prägt nicht nur die deutsche Innenpolitik, sondern macht Deutschland zum entscheidenden Staat im EU-Rat – dessen Position darüber bestimmt, ob europäische Überwachungsmaßnahmen Erfolg haben oder scheitern.

Von INDECT zum totalen Datenzugriff: 25 Jahre EU-Überwachungsexpansion

Das INDECT-Projekt enthüllt frühe Totalüberwachungspläne. Im Oktober 2009 berichtete Wikinews über eine durchgesickerte EU-Studie zum Projekt INDECT („Extraction of Information for Crime Prevention by Combining Web Derived Knowledge and Unstructured Data").^[1] Das im Rahmen des 7. Forschungsrahmenprogramms der EU-Kommission finanzierte Projekt zielte auf die Überwachung von Fernseh- und Internetnutzung, Mobiltelefonen, Peer-to-Peer-Netzwerken und File-Sharing zur Kriminalprävention.^[2] Beteiligt waren zehn EU-Staaten, darunter Deutschland, Polen und das Vereinigte Königreich. Shami Chakrabarti von Liberty UK nannte dies einen „finsteren Schritt" mit europaweiten Auswirkungen.^[3] Die Electronic Frontier Foundation warnte, eine solche Infrastruktur verletze Datenschutzgesetze und sei „der erste Schritt zu einer totalitären Überwachungs-Informationsgesellschaft" – eine Parallele zum US-ECHELON-System, das das EU-Parlament 2001 bereits als Verstoß gegen Datenschutzwerte identifiziert hatte.^[4]

Die Vorratsdatenspeicherungsrichtlinie markiert den Höhepunkt der EU-Überwachung. Nach den Terroranschlägen von Madrid (März 2004) und London (Juli 2005) verabschiedete die EU in Rekordgeschwindigkeit – nur drei Monaten – die Richtlinie 2006/24/EG.^[5] Sie verpflichtete Telekommunikationsanbieter zur Speicherung aller Verkehrs- und Standortdaten für 6-24 Monate ohne Verdacht auf eine Straftat. Der federführende Berichterstatter Alexander Nuno Alvaro distanzierte sich aus Protest von seinem eigenen Bericht.^[6] Eine Koalition von 90 NGOs und 80 Telekommunikationsanbietern scheiterte mit ihrer Opposition gegen die politische Druckwelle nach den Anschlägen.^[7] Die jährlichen Kosten allein in Deutschland: über 600 Millionen Euro.^[8]

Die Wende: Vom Überwachungsstaat zum Grundrechtsschutz

Der EuGH beendet 2014 die Ära der anlasslosen Massenüberwachung. Am 8. April 2014 erklärte der Europäische Gerichtshof in der Rechtssache Digital Rights Ireland die gesamte Vorratsdatenspeicherungsrichtlinie für ungültig.^[9] Das Gericht stellte fest, die Richtlinie greife „in weitreichender und besonders schwerwiegender Weise" in Grundrechte ein, ohne auf das „unbedingt Erforderliche" beschränkt zu sein.^[10] Kritische Mängel: keine objektiven Kriterien für den Datenzugriff, keine Voraussetzung einer vorherigen gerichtlichen Kontrolle, keine Verpflichtung zur Datenspeicherung in der EU, willkürliche Speicherfristen.^[11] Die Entscheidung etablierte einen strengen Verhältnismäßigkeitsmaßstab: Die EU-Legislative verfügt über reduzierten Ermessensspielraum bei Grundrechtseingriffen.^[12]

Der EuGH weitet den Schutz auf nationale Gesetze aus. In Tele2 Sverige/Watson (2016) stellte der Gerichtshof klar, dass auch nationale Vorratsdatenspeicherungsgesetze EU-Recht verletzen.^[13] In La Quadrature du Net (2020) dehnte er dieses Verbot sogar auf die nationale Sicherheit aus – ein Bereich, der traditionell als Mitgliedstaatenkompetenz gilt.^[14] Der einzige Ausnahmetatbestand: eine „echte, gegenwärtige oder vorhersehbare Bedrohung der nationalen Sicherheit", zeitlich begrenzt und unter strenger gerichtlicher Kontrolle.^[15] In SpaceNet (2022) verwarf der EuGH selbst die deutsche Reform mit verkürzten Speicherfristen (10 Wochen statt 6 Monate) als weiterhin unverhältnismäßig.^[16]

Die ePrivacy-Verordnung scheitert nach achtjährigem Stillstand. Am 11. Februar 2025 zog die EU-Kommission ihren 2017 vorgelegten Vorschlag zur Modernisierung des ePrivacy-Rechts zurück.^[17] Acht Jahre Verhandlungen zwischen Parlament (das Datenschutz forderte), Rat (der Strafverfolgungszugriff wollte) und Kommission (die zu vermitteln versuchte) führten zu keinem Ergebnis.^[18] Das legislative Vakuum bedeutet: Die ePrivacy-Richtlinie von 2002 – konzipiert für die Ära vor Smartphones – bleibt weiterhin in Kraft, obwohl sie für die heutige digitale Realität völlig ungeeignet ist.^[19]

Chat Control 2.0: Europas umstrittenster Überwachungsvorstoß

Die EU plant die größte Massenüberwachungsinfrastruktur ihrer Geschichte. Am 11. Mai 2022 präsentierte EU-Innenkommissarin Ylva Johansson den Verordnungsentwurf zur Prävention und Bekämpfung von sexuellem Kindesmissbrauch (CSAM-Verordnung).^[20] Der Vorschlag würde alle Messaging-, E-Mail- und Chat-Dienste verpflichten, private Kommunikation zu scannen: bekanntes CSAM per Hash-Datenbanken, unbekanntes CSAM per KI-Erkennung, „Grooming"-Verhalten per Textanalyse.^[21] Ende-zu-Ende-verschlüsselte Dienste wie WhatsApp und Signal müssten Client-Side-Scanning implementieren – die Überprüfung würde auf den Geräten der Nutzer vor der Verschlüsselung stattfinden.^[22] Nutzer, die das Scannen ablehnen, könnten keine Bilder, Videos oder URLs mehr versenden.^[23]

Juristische und technische Gutachten zerpflücken den Vorschlag. Der Juristische Dienst des EU-Rats bestätigte im April 2023 eine wahrscheinliche Verletzung des Grundrechts auf Privatsphäre.^[24] Die Ergänzende Folgenabschätzung des EU-Parlaments (April 2023) kam zu vernichtenden Schlüssen: Es existieren keine technologischen Lösungen ohne hohe Fehlerquoten, das System würde Ende-zu-Ende-Verschlüsselung untergraben.^[25] Die Schweizer Bundespolizei berichtet, dass 80% der maschinell generierten Meldungen unbegründet sind; Irland bestätigt nur 20% der NCMEC-Meldungen als tatsächliches CSAM.^[26] Im Februar 2024 urteilte der Europäische Gerichtshof für Menschenrechte, die Untergrabung von Verschlüsselung verletze Privatsphärerechte.^[27] Über 500 Kryptographie-Experten unterzeichneten einen Offenen Brief gegen den Vorschlag.^[28]

Deutschland nutzt seine Vetomacht zur Blockade. Im Juni 2024 lehnte der Bundestag einen Entschließungsantrag ab, der die Bundesregierung zur Zustimmung verpflichtet hätte.^[29] FDP-Justizminister Marco Buschmann kündigte im September an, Deutschland werde sich bei entscheidenden Abstimmungen enthalten und damit eine qualifizierte Mehrheit unmöglich machen.^[30] Vor der geplanten Abstimmung am 14. Oktober 2025 fehlt dem Rat die nötige Mehrheit (Spanien, Estland, Slowenien, Polen, Tschechien signalisierten ebenfalls Ablehnung).^[31] Belgiens EU-Ratspräsidentschaft warnte, bei Ablehnung drohe ein „neues Regulierungsvakuum" – Dienste würden nach Juni 2025 CSAM-Scanning sogar einstellen, wenn die temporäre Verordnung (2021 für zwei Jahre bis August 2024 verabschiedet) endgültig ausläuft.^[32]

Die öffentliche Opposition mobilisiert breit. Patrick Breyer veröffentlichte als Schattenberichterstatter des EU-Parlaments konsequent kritische Berichte und organisierte Gegenwind.^[33] Das Collective of European Privacy Campaigners forderte im September: „Stoppt Chat-Kontrolle – Lasst uns über echte Lösungen sprechen."^[34] Die Piratenpartei Deutschland startete eine Bundesverfassungsbeschwerde.^[35] Die Chaos Computer Club kritisierte, Client-Side-Scanning untergrabe fundamentale IT-Sicherheit.^[36] Meredith Whittaker von Signal drohte, die App würde die EU verlassen, bevor sie Überwachung implementiere.^[37] Edward Snowden warnte, dies sei „die umfassendste Massenüberwachungsmaschine, die je außerhalb Chinas oder der Sowjetunion vorgeschlagen wurde."^[38]

Die Kommission bleibt trotz Kritik unbeeindruckt. Innenkommissarin Ylva Johansson behauptete wiederholt, „Verschlüsselung würde nicht untergraben" – eine Aussage, die technische Experten als irreführend zurückweisen.^[39] Ihr Kabinettschef François Valette schrieb, „Anonymität sollte kein Standard sein" und forderte digitale Identitätsprüfung.^[40] Die Kommission stellte 2021 temporäre Ausnahmen von der ePrivacy-Richtlinie bereit, die es Plattformen erlaubten, Inhalte freiwillig zu scannen – eine De-facto-Testphase für Chat Control.^[41] Interne Dokumente enthüllten, die Kommission zielte auf eine „allgemeine und unverdächtige Überwachung" ab, die gegen geltendes Recht verstößt.^[42]

Die Justizministerien zerlegen den Vorschlag methodisch. Deutschland, Frankreich, die Niederlande, Österreich, Polen lieferten gemeinsame Non-Papers, die die Verletzung von Privatsphäre, Datenschutz und Verhältnismäßigkeit dokumentierten.^[43] Das deutsche Bundesjustizministerium warnte, der Vorschlag sei nicht mit dem Grundgesetz vereinbar.^[44] Österreichs Verfassungsgerichtshof würde ihn wahrscheinlich blockieren (der Präsident sagte dies öffentlich).^[45] Der polnische Commissioner for Human Rights nannte es eine Verletzung der Verfassung.^[46] Der belgische Datenschutzbeauftragte erklärte, es seien „mehrere Menschenrechtsfragen betroffen".^[47]

Der iterative Verwässerungsprozess hält Kernüberwachung aufrecht. Die belgische Ratspräsidentschaft präsentierte im Juni 2024 einen „Kompromiss", der Client-Side-Scanning einschränkte, aber Upload-Moderation aufrechterhielt.^[48] Deutschland lehnte ab.^[49] Eine weitere Version im September schlug „gezielte" statt „generalisierte" Scans vor – aber „gezielt" bedeutete weiterhin kategorialen Verdacht (z.B. alle Nutzer unter 18), nicht individuellen.^[50] Patrick Breyer nannte dies „Massenüberwachung mit einem semantischen Feigenblatt".^[51] Die ungarische Ratspräsidentschaft (Juli-Dezember 2024) versuchte, Widerstand durch Wiederholung zu zermürben – jeden Monat neue Versionen mit minimalen Änderungen.^[52]

Deutsche Innenpolitik: Vom Verfassungshüter zum Sicherheitsstaat-Laboratorium

Das Bundesverfassungsgericht zieht die schärfsten Grenzen. Am 2. März 2010 verbot Karlsruhe die Vorratsdatenspeicherung wegen fundamentaler Grundrechtsverletzungen.^[53] Am 10. April 2018 bestätigte das Gericht: keine anlasslose Massenüberwachung erlaubt.^[54] Im November 2020 kippte es BND-Überwachungsbefugnisse für Ausländer, da Grundrechte universal gelten.^[55] Im Februar 2023 erklärte es die Länder-Quellen-Telekommunikationsüberwachung (Staatstrojaner) für teilweise verfassungswidrig wegen unzureichender Rechtsgrundlagen.^[56] Die Rechtsprechung etabliert vier nicht verhandelbare Prinzipien: Grundrechte gelten absolut (auch für Ausländer), Verhältnismäßigkeit ist bindend (Strafverfolgung rechtfertigt nicht alles), richterliche Kontrolle ist zwingend (exekutive Selbstermächtigung ist unzulässig), Kerndaten bleiben unantastbar (bestimmte Informationen dürfen niemals erfasst werden).^[57]

Sicherheitsbehörden suchen konsistent nach Umgehungswegen. Trotz wiederholter Verfassungsgerichtsniederlage forderten deutsche Innenminister auf der Innenministerkonferenz im Juni 2021 erneut Vorratsdatenspeicherung – diesmal euphemistisch als „Quick Freeze" umbenannt (Daten werden erst bei Verdacht eingefroren).^[58] Im Juli 2024 veröffentlichte Niedersachsens Innenminister Uwe Schünemann (CDU) einen Gesetzentwurf, der „anlassloses Speichern von IP-Adressen für 18 Tage" forderte – was funktional Vorratsdatenspeicherung unter neuem Namen ist.^[59] Im September 2024 präsentierte Bundesinnenministerin Nancy Faeser (SPD) einen Gesetzentwurf zur Biometriedatensammlung aus öffentlich zugänglichen Internetquellen zur Terrorismusbekämpfung.^[60] CDU/CSU forderte Anfang 2025, Gesichtserkennung in öffentlichen Räumen zu erlauben – trotz AI-Act-Verbot.^[61]

Die Koalitionsdynamik blockiert konsistente Gesetzgebung. Die Ampelkoalition (SPD-Grüne-FDP, seit Dezember 2021) ist fundamental gespalten. SPD + Grüne (Sicherheitsfraktion): unterstützen erweiterte BKA-Befugnisse, Biometriedatensammlung, strenge Online-Regulierung, KI-Überwachungstechnologie, befürworten Quick Freeze statt Vorratsdatenspeicherung als Kompromiss. FDP (Freiheitsfraktion): blockiert Vorratsdatenspeicherung absolut, lehnt Client-Side-Scanning ab, kämpft für Verschlüsselungsstandards, fordert strenge Verhältnismäßigkeit, hat Justizministerium (Marco Buschmann). Resultat: gesetzgeberischer Stillstand. Deutschland hat seit SpaceNet 2022 kein neues Überwachungsgesetz verabschiedet, weil kein Konsens möglich ist.^[62]

Die bevorstehenden Wahlen verschieben die Machtverhältnisse. Umfragen vom September 2024 zeigen CDU/CSU bei 32%, SPD bei 15%, Grüne bei 10%, FDP unter 5%-Hürde.^[63] Die Ampelkoalition wird wahrscheinlich durch CDU/CSU-geführte Koalition (CDU/CSU-SPD oder CDU/CSU-Grüne) ersetzt.^[64] CDU/CSU-Sicherheitshaltung: historische Unterstützung für Vorratsdatenspeicherung (führte 2007 Gesetz ein), forderte 2024 Gesichtserkennung, befürwortet „technologische Neutralität" (Code für: wenn Technologie existiert, sollten wir sie einsetzen), weniger Hemmungen gegenüber exekutiven Überwachungsbefugnissen, aber auch institutionell gemäßigt durch Verfassungsgerichtsdrohung.^[65] Die CDU-Position zu Chat Control: ablehnend. Friedrich Merz (CDU-Vorsitzender) kritisierte den Vorschlag als unverhältnismäßig; CDU/CSU-Abgeordnete im Europaparlament stimmten gegen Client-Side-Scanning.^[66] Dies bedeutet: Deutschland wird bei Chat Control blockierend bleiben, selbst nach Regierungswechsel.

Die langfristige Verfassungsdynamik begrenzt Überwachungsexpansion. Das Bundesverfassungsgericht ist auf 12 Jahre gewählt (nicht absetzbar), aktuelle Zusammensetzung bleibt bis Ende 2020er Jahre. Historisches Muster: Das Gericht kippt regelmäßig Sicherheitsgesetze (Volkszählungsurteil 1983, Großer Lauschangriff 1998, Vorratsdatenspeicherung 2010/2018, BND-Gesetz 2020, Staatstrojaner 2023).^[67] Deutsche Rechtskultur betont Verhältnismäßigkeit und prozessuale Sicherungen – nicht aus abstraktem Prinzip, sondern aus historischer Erinnerung. Die Stasi-Unterlagen-Behörde dokumentierte über 100.000 Überwachungsopfer; dieses kollektive Gedächtnis wirkt noch immer.^[68] Technische Communities (Chaos Computer Club, Forum InformatikerInnen für Frieden, Digitale Gesellschaft) verfügen über erhebliche öffentliche Glaubwürdigkeit und mobilisieren Verfassungsbeschwerden.^[69]

Paradoxerweise exportiert Deutschland gleichzeitig Überwachungstechnologie. Deutsche Firmen wie FinFisher (Staatstrojaner-Hersteller, jetzt insolviert) und Trovicor (ehemalige Siemens/Nokia-Tochter, verkaufte IMSI-Catcher an Bahrain) belieferten autoritäre Regime.^[70] Das Exportkontrollgesetz von 2021 verschärfte Regeln, aber Durchsetzungsprobleme bleiben.^[71] Die Ironie: Deutschland blockiert inländische Massenüberwachung aus Verfassungsgründen, während deutsche Technologie ausländische Dissidentenüberwachung ermöglicht – bis öffentliche Skandale zu Firmenschließungen führen.

Lobbying und Macht: Wer formt die EU-Überwachungsagenda

Die Sicherheitsindustrie verankert sich in EU-Institutionen. Die European Organisation for Security (EOS), gegründet 2007, umfasst über 50 Unternehmen (Leonardo, Thales, Airbus Defence & Space, Indra).^[72] Sie publiziert jährlich einen „Vision Report", der „Sicherheitslücken" identifiziert und technologische Lösungen vorschlägt – oft als Verschleierung für Überwachungserweiterung.^[73] EOS sitzt in Beratungsgremien der Europäischen Verteidigungsagentur, beeinflusst Horizon-Europe-Forschungsausschreibungen, organisiert Security-Research-Konferenzen mit Kommissionsbeamten.^[74] Das Muster: Technologiehersteller definieren Probleme, die ihre Produkte lösen. INDECT, das Überwachungsprojekt von 2009, wurde von einem Forschungskonsortium vorgeschlagen, das 12 Millionen Euro EU-Förderung erhielt – Konsortiumsmitglieder wurden später Lieferanten operativer Systeme.^[75]

Strafverfolgungsbehörden koordinieren transnationale Lobbykampagnen. Europol expandiert aggressiv: von 631 Mitarbeitern (2013) auf 1.500+ (2024).^[76] Die Agentur erhielt 2022 neue Befugnisse für „proaktive Forschung" (Datenanalyse ohne spezifischen Verdacht).^[77] Für 2026-2030 fordert Europol „Mandatsverdopplung" – Sabotage, hybride Bedrohungen, Desinformation, Migrationskriminalität in ihre Zuständigkeit integrieren.^[78] Nationale Geheimdienste nutzen den Rat als Koordinierungsplattform. Die „Going-Dark"-Arbeitsgruppe (vom Europaparlament 2021 enthüllt) entwickelte Vorschläge für verschlüsselte Kommunikationsüberwachung unter Ausschluss von Zivilgesellschaft und Parlament.^[79] Teilnehmer: Vertreter aus Innenministerien, Europol, FBI (beratend), NSA (inoffiziell).^[80]

Politische Rahmung instrumentalisiert existenzielle Ängste. Post-9/11 rechtfertigte Terrorismusbekämpfung die Vorratsdatenspeicherung innerhalb von drei Monaten.^[81] Die Migrationskrise 2015-2016 führte zu „Smart Borders"-Initiativen, die biometrische Erfassung aller Nicht-EU-Bürger an Grenzen durchsetzten.^[82] Der Ukraine-Krieg 2022 dient als Rechtfertigung für „hybride Bedrohungsabwehr" – ein kategorial unscharfer Begriff, der Desinformation, Sabotage, Cyberangriffe umfasst und Europol-Erweiterung legitimiert.^[83] Chat Control nutzt Kinderschutz als unbestreitbaren moralischen Imperativ; Kritiker werden implizit als Täterunterstützer gerahmt.^[84] Ylva Johansson erklärte 2022: „Wenn Sie gegen Chat Control sind, erklären Sie, wie Sie die 20 Millionen Kinder schützen wollen, die jährlich missbraucht werden."^[85] Diese Zahl ist statistisch falsch überhöht (tatsächliche Opferzahl weltweit: ca. 1-2 Millionen jährlich), aber die emotionale Kraft bleibt.^[86]

Big Tech gibt 97 Millionen Euro jährlich für EU-Lobbyarbeit aus. Eine Untersuchung von Corporate Europe Observatory und LobbyControl 2021 identifizierte 612 Unternehmen/Gruppen, die zur digitalen Wirtschaft lobbyieren – der größte Lobbysektor in der EU.^[87] Die Top-10-Ausgeber veranschlagen 32 Millionen Euro: Google (5,8 Mio. €), Facebook, Microsoft, Apple, Huawei, Amazon, IBM, Intel, Qualcomm, Vodafone.^[88] Zur ePrivacy-Verordnung (2016-2017) hatten Deutsche Telekom (5 Treffen), Microsoft (5), Google (3) und Facebook (2) zahlreiche Kommissionstreffen.^[89] Die Industrie lehnte Privacy-by-Default-Einstellungen ab.^[90] Resultat: Die ePrivacy-Verordnung wurde jahrelang blockiert; der Rat schlug vor, Vorratsdatenspeicherung entgegen Gerichtsurteilen zu legalisieren.^[91]

Zivilgesellschaftliche NGOs operieren mit Bruchteil-Budgets. European Digital Rights (EDRi), ein Netzwerk von 40+ NGOs, führt zentrale Kampagnen: gegen Vorratsdatenspeicherung (2005, 2011), ACTA (erfolgreich – Parlament lehnte 2012 ab), für ePrivacy (organisierte Tausende Bürger-Antworten), gegen Chat Control (10 Prinzipien veröffentlicht), gegen biometrische Massenüberwachung (Reclaim Your Face-Koalition mit 76 Organisationen).^[92] Access Now, La Quadrature du Net, Privacy International, Statewatch ergänzen dieses Netzwerk.^[93] Ihr Erfolg beruht auf Gerichtsverfahren (Vorratsdatenspeicherungsrichtlinie für ungültig erklärt), Mobilisierung von Abgeordneten (Parlament stimmte für umfassendes Biometrie-Verbot im AI Act) und technischer Expertise (Widerlegung falscher Sicherheitsbehauptungen).^[94] Limitation: Sie können den Rat nicht überwinden, wenn Mitgliedstaaten vereint sind.

Europaparlamentarier führen den Widerstand gegen Überwachung an. Sophie in 't Veld (Renew Europe, Niederlande) ist die prominenteste Anti-Überwachungs-Abgeordnete.^[95] Als Berichterstatterin des PEGA-Untersuchungsausschusses (April 2022-Juni 2023) legte sie offen, dass „mehrere EU-Regierungen ihre Befugnisse missbrauchten" und die EU „nicht ausgerüstet ist, auf Angriffe auf die Demokratie von innen zu reagieren".^[96] Sie verklagte 2008 das US Department of Homeland Security wegen PNR-Datensammlung; 2014 urteilte der EuGH, sie habe Zugang zu Ratsdokumenten.^[97] Patrick Breyer (Piratenpartei/Grüne-EFA, Deutschland) besitzt einen Doktortitel über Vorratsdatenspeicherung (2004); seine Verfassungsbeschwerde führte 2012 zur teilweisen Ungültigkeitserklärung durch das Bundesverfassungsgericht.^[98] Im Parlament enthüllte er die EU-„Going-Dark"-Arbeitsgruppe, die Massenüberwachungsvorschläge unter Ausschluss von NGOs vorbereitete.^[99] Er nannte dies „undemokratisch" und dokumentiert konsistent falsche Behauptungen über Vorratsdatenspeicherungs-Effektivität.^[100]

Die institutionelle Dynamik folgt konsistenten Mustern. Das Parlament ist der stärkste Verfechter von Grundrechten, der Rat vertritt mitgliedstaatliche Strafverfolgungs-/Geheimdienstinteressen, die Kommission nimmt eine zwiespältige Haltung ein (schlug Chat Control vor, lehnt manchmal Überwachung schwach ab).^[101] Der Europäische Datenschutzbeauftragte verfügt über moralische Autorität, aber begrenzte Durchsetzungsmacht – wird vom Rat häufig ignoriert.^[102] Erfolge der Sicherheitsindustrie: direkte Regierungs-zu-Regierungs-Befürwortung durch den Rat, Rahmung von Migration und Kriminalität als existenzielle Bedrohungen, Post-Anschlag-Politikmomente, Einbettung in Beratungsgremien und Forschungskonsortien.^[103] Erfolge der Zivilgesellschaft: Gerichtsverfahren (Vorratsdatenspeicherungsrichtlinie ungültig), Mobilisierung von Abgeordneten (Parlament stimmte für Biometrie-Verbot), öffentliche Kampagnen, technische Expertise.^[104]

Die EU-Überwachungslandschaft 2025: Fragmentierung und Verschärfung

Die EU hat keinen kohärenten Rechtsrahmen für Überwachung. Nach dem Rückzug der ePrivacy-Verordnung im Februar 2025 bleibt die Richtlinie von 2002 – konzipiert für die Pre-Smartphone-Ära – als regulatorisches Fundament bestehen.^[105] Die DSGVO gilt seit Mai 2018, aber Strafverfolgung und nationale Sicherheit sind weitgehend ausgenommen.^[106] Das Ergebnis: ein Flickenteppich mitgliedstaatlicher Gesetze, von denen viele mit EuGH-Rechtsprechung kollidieren, aber weiter angewandt werden.^[107] Deutschland hat seit der SpaceNet-Entscheidung 2022 kein neues Gesetz verabschiedet, weil die Koalition blockiert ist.^[108] Frankreich kodifizierte einen permanenten Ausnahmezustand, um die La-Quadrature-Ausnahme zu nutzen.^[109] Irland verabschiedete 2024 ein umstrittenes Interception-Gesetz für verschlüsselte Plattformen mit „Mängeln" und fehlenden Schutzmaßnahmen.^[110]

Technologische Entwicklungen überholen die rechtlichen Rahmenbedingungen. KI-gestützte Verhaltensanalyse (INDECT-Vision von 2009 wird Realität), Client-Side-Scanning (technisch möglich, rechtlich umstritten), kommerzielle Spyware (Pegasus umgeht traditionelle Telekommunikationsüberwachungsgesetze), verschlüsselte Messaging-Apps (Signal, WhatsApp, Telegram – außerhalb traditioneller Provider-Regelungen), biometrische Massenüberwachung (facial recognition in öffentlichen Räumen trotz AI-Act-Verboten getestet) schaffen Fakten, bevor der Gesetzgeber reagieren kann.^[111]

Die transatlantische Datenkluft verschärft sich. Der EU-US Data Privacy Framework von Juli 2023 überdauerte die erste jährliche Überprüfung im November 2024, aber Kritiker wie Max Schrems bereiten „Schrems III" vor.^[112] Zentrale Bedenken: US-Nachrichtendienstprogramme (FISA 702, EO 12333) erlauben weiterhin „generalisierten Zugriff" ohne Beschränkung auf das „unbedingt Erforderliche", der Data Protection Review Court ist operativ, aber reale Abhilfeergebnisse bleiben unbekannt, das CLOUD Act schafft Jurisdiktionskonflikte, die DSGVO-Einhaltung untergraben.^[113] Die Ironie: Der EuGH blockierte 2020 EU-US-Datentransfers aufgrund US-Überwachung, während vergleichbare EU-Mitgliedstaaten-Überwachung (UK TEMPORA, französische DGSE, schwedische FRA, deutsche BND-NSA-Kooperation) milder behandelt wird.^[114]

Der „Pegasus-Moment" offenbart eine Accountability-Lücke. Kommerzielle Spyware erlaubt Zero-Click-Hacking, vollständigen Gerätezugriff und Umgehung von Verschlüsselung – und operiert außerhalb des traditionellen Telekommunikationsüberwachungsrahmens, den EuGH-Rechtsprechung fokussiert.^[115] Ungarn, Polen, Spanien, Griechenland und Belgien nutzten nachweislich Pegasus; die nationale Sicherheitsausnahme begrenzt EU-Maßnahmen.^[116] Das EU-Parlament forderte im November 2022, die EU solle Befugnisse zur Bekämpfung von Spyware-Missbrauch erhalten, aber dies kollidiert mit Artikel 4(2) EUV: „Nationale Sicherheit bleibt in der alleinigen Verantwortung jedes Mitgliedstaats."^[117]

Deutschland bleibt der unvorhersehbare Wächter. Die Bundesrepublik wird wahrscheinlich bei der entscheidenden Chat-Control-Abstimmung am 14. Oktober 2025 eine Sperrminorität aufrechterhalten oder sich enthalten, wodurch die qualifizierte Mehrheit verhindert wird.^[118] Wenn die aktuelle Regierung fällt, würde CDU/CSU wahrscheinlich die nächste Regierung bilden (Umfragen deuten darauf hin), und CDU/CSU-Opposition gegen Chat Control ist fest.^[119] Mittelfristig (2026-2029) könnte eine CDU-geführte Regierung leicht sicherheitsorientierter sein, aber die Verfassungsgerichtsbeschränkungen bleiben unabhängig von der Regierung.^[120] Langfristig: Das Verfassungsgericht wird weiterhin als Bremse fungieren, die deutsche Rechtskultur betont Verhältnismäßigkeit und Grundrechte, historische Erinnerung an Überwachungsstaaten (Nazi, Stasi) bleibt einflussreich, wachsende technische Expertise in Bundestag und Zivilgesellschaft stärkt informierte Opposition.^[121]

Die nächsten Schlachten zeichnen sich ab. Chat Control 2.0 steht vor kritischer Abstimmung (Oktober 2025); selbst wenn blockiert, werden ähnliche Vorschläge unter dem Banner des Kinderschutzes wiederkehren.^[122] Die EU-US-Data-Privacy-Framework-Haltbarkeit wird durch potenzielle „Schrems III"-Klage getestet.^[123] Europol-Befugnisse sollen 2026 „ehrgeizig überarbeitet" werden, einschließlich Verdopplung des Personals und Ausweitung auf Sabotage, hybride Bedrohungen, Informationsmanipulation.^[124] Die Interoperabilität großer IT-Systeme (SIS, EES, ETIAS, VIS, Eurodac, Prüm) schafft eine umfassende Überwachungsarchitektur.^[125] Die Lücke zwischen AI-Act-Verboten und Mitgliedstaaten-Implementierung (Ungarn, Tschechien, Österreich testen bereits Grenzen) wird sich vergrößern.^[126] Die ePrivacy-Verordnung bleibt in legislativem Vakuum; die Richtlinie von 2002 ist für 2025 ungeeignet.^[127]

Die EU-Überwachungslandschaft bleibt durch fundamentale Spannungen geprägt: zwischen Sicherheitsimperativen und Grundrechten, zwischen mitgliedstaatlicher Souveränität und EU-Rechtsstaatlichkeit, zwischen technologischer Machbarkeit und demokratischer Kontrolle. Das Bundesverfassungsgericht und der EuGH haben klare rote Linien gegen anlasslose Massenüberwachung gezogen, aber Mitgliedstaaten suchen konsistent nach Umgehungswegen. Deutschland bleibt der entscheidende, wenn auch unberechenbare Akteur – sein Gewicht im Rat macht es zur Schlüsselverteidigung gegen die invasivsten EU-Überwachungsmaßnahmen, obwohl diese Rolle widerstrebend und von innenpolitischen Konflikten überschattet ist. Die kommenden Jahre werden zeigen, ob die von Karlsruhe und Luxemburg etablierten Grundrechtsstandards die politische Dynamik überdauern, die kontinuierlich nach erweiterten Überwachungsbefugnissen strebt.

Fußnoten

1. Wikinews, Oktober 2009: Bericht über durchgesickerte EU-Studie zum INDECT-Projekt. ↩︎
2. EU 7. Forschungsrahmenprogramm: INDECT-Projektfinanzierung für Überwachungsforschung. ↩︎
3. Shami Chakrabarti, Liberty UK: Kritik am INDECT-Projekt als „finsteren Schritt". ↩︎
4. Electronic Frontier Foundation: Warnung vor totalitärer Überwachungs-Informationsgesellschaft; EU-Parlament 2001: ECHELON als Datenschutzverstoß identifiziert. ↩︎
5. EU-Richtlinie 2006/24/EG: Vorratsdatenspeicherungsrichtlinie, verabschiedet in drei Monaten nach Terroranschlägen Madrid (März 2004) und London (Juli 2005). ↩︎
6. Alexander Nuno Alvaro: Protest gegen eigenen Berichtsentwurf zur Vorratsdatenspeicherung. ↩︎
7. Koalition von 90 NGOs und 80 Telekommunikationsanbietern: Opposition gegen Vorratsdatenspeicherung. ↩︎
8. Jährliche Kosten der Vorratsdatenspeicherung in Deutschland: über 600 Millionen Euro. ↩︎
9. EuGH, 8. April 2014, Rechtssache Digital Rights Ireland: Vorratsdatenspeicherungsrichtlinie für ungültig erklärt. ↩︎
10. EuGH Digital Rights Ireland: Richtlinie greift „in weitreichender und besonders schwerwiegender Weise" in Grundrechte ein. ↩︎
11. EuGH Digital Rights Ireland: Kritische Mängel der Vorratsdatenspeicherungsrichtlinie. ↩︎
12. EuGH Digital Rights Ireland: Etablierung strengen Verhältnismäßigkeitsmaßstabs bei Grundrechtseingriffen. ↩︎
13. EuGH, Tele2 Sverige/Watson (2016): Nationale Vorratsdatenspeicherungsgesetze verstoßen gegen EU-Recht. ↩︎
14. EuGH, La Quadrature du Net (2020): Verbot der Vorratsdatenspeicherung auch bei nationaler Sicherheit. ↩︎
15. EuGH La Quadrature du Net: Ausnahmetatbestand „echte, gegenwärtige oder vorhersehbare Bedrohung der nationalen Sicherheit". ↩︎
16. EuGH, SpaceNet (2022): Deutsche Reform mit verkürzten Speicherfristen (10 Wochen) als unverhältnismäßig verworfen. ↩︎
17. EU-Kommission, 11. Februar 2025: Rückzug des ePrivacy-Verordnungsvorschlags von 2017. ↩︎
18. Acht Jahre Verhandlungen zur ePrivacy-Verordnung zwischen Parlament, Rat und Kommission ohne Ergebnis. ↩︎
19. ePrivacy-Richtlinie von 2002: Weiterhin in Kraft trotz Ungeeignetheit für heutige digitale Realität. ↩︎
20. EU-Innenkommissarin Ylva Johansson, 11. Mai 2022: Vorschlag CSAM-Verordnung (Chat Control). ↩︎
21. CSAM-Verordnungsvorschlag: Verpflichtung zum Scannen von bekanntem CSAM (Hash-Datenbanken), unbekanntem CSAM (KI-Erkennung), Grooming (Textanalyse). ↩︎
22. CSAM-Verordnung: Ende-zu-Ende-verschlüsselte Dienste müssen Client-Side-Scanning implementieren. ↩︎
23. CSAM-Verordnung: Nutzer, die Scanning ablehnen, können keine Bilder, Videos oder URLs versenden. ↩︎
24. Juristischer Dienst des EU-Rats, April 2023: CSAM-Verordnung verletzt wahrscheinlich Grundrecht auf Privatsphäre. ↩︎
25. Ergänzende Folgenabschätzung des EU-Parlaments, April 2023: Keine technologischen Lösungen ohne hohe Fehlerquoten, Untergrabung von Ende-zu-Ende-Verschlüsselung. ↩︎
26. Schweizer Bundespolizei: 80% maschinell generierte Meldungen unbegründet; Irland: nur 20% der NCMEC-Meldungen als CSAM bestätigt. ↩︎
27. Europäischer Gerichtshof für Menschenrechte, Februar 2024: Untergrabung von Verschlüsselung verletzt Privatsphärerechte. ↩︎
28. Über 500 Kryptographie-Experten: Offener Brief gegen CSAM-Verordnungsvorschlag. ↩︎
29. Bundestag, Juni 2024: Ablehnung von Entschließungsantrag zur Zustimmung zu Chat Control. ↩︎
30. FDP-Justizminister Marco Buschmann, September: Ankündigung deutscher Enthaltung bei Chat-Control-Abstimmung. ↩︎
31. EU-Rat vor Abstimmung 14. Oktober 2025: Fehlende qualifizierte Mehrheit (Spanien, Estland, Slowenien, Polen, Tschechien Ablehnung signalisiert). ↩︎
32. Belgische EU-Ratspräsidentschaft: Warnung vor „Regulierungsvakuum" bei Ablehnung; temporäre Verordnung (2021, bis August 2024) läuft aus. ↩︎
33. Patrick Breyer, Schattenberichterstatter EU-Parlament: Kritische Berichte und Organisation von Gegenwind gegen Chat Control. ↩︎
34. Collective of European Privacy Campaigners, September: Forderung „Stoppt Chat-Kontrolle – Lasst uns über echte Lösungen sprechen." ↩︎
35. Piratenpartei Deutschland: Bundesverfassungsbeschwerde gegen Chat Control. ↩︎
36. Chaos Computer Club: Kritik an Client-Side-Scanning als Untergrabung fundamentaler IT-Sicherheit. ↩︎
37. Meredith Whittaker, Signal: Drohung, Signal würde EU verlassen statt Überwachung zu implementieren. ↩︎
38. Edward Snowden: Warnung vor „umfassendster Massenüberwachungsmaschine außerhalb Chinas oder der Sowjetunion". ↩︎
39. Ylva Johansson: Wiederholte Behauptung, „Verschlüsselung würde nicht untergraben" – von technischen Experten als irreführend zurückgewiesen. ↩︎
40. François Valette, Kabinettschef Ylva Johansson: „Anonymität sollte kein Standard sein", Forderung nach digitaler Identitätsprüfung. ↩︎
41. EU-Kommission, 2021: Temporäre Ausnahmen von ePrivacy-Richtlinie für freiwilliges Content-Scanning als De-facto-Testphase. ↩︎
42. Interne Kommissionsdokumente: Ziel „allgemeine und unverdächtige Überwachung" entgegen geltendem Recht. ↩︎
43. Deutschland, Frankreich, Niederlande, Österreich, Polen: Gemeinsame Non-Papers dokumentieren Verletzung von Privatsphäre und Verhältnismäßigkeit. ↩︎
44. Bundesjustizministerium Deutschland: Warnung, CSAM-Verordnung nicht mit Grundgesetz vereinbar. ↩︎
45. Österreichischer Verfassungsgerichtshof: Wahrscheinliche Blockade (Präsident öffentliche Aussage). ↩︎
46. Polnischer Commissioner for Human Rights: CSAM-Verordnung als Verfassungsverstoß. ↩︎
47. Belgischer Datenschutzbeauftragter: „Mehrere Menschenrechtsfragen betroffen". ↩︎
48. Belgische Ratspräsidentschaft, Juni 2024: „Kompromiss" mit eingeschränktem Client-Side-Scanning, aber aufrechterhaltenem Upload-Moderation. ↩︎
49. Deutschland: Ablehnung belgischen Kompromissvorschlags Juni 2024. ↩︎
50. Version September: „Gezielte" statt „generalisierte" Scans, aber weiterhin kategorialer Verdacht (z.B. alle Nutzer unter 18). ↩︎
51. Patrick Breyer: Kritik als „Massenüberwachung mit semantischem Feigenblatt". ↩︎
52. Ungarische Ratspräsidentschaft (Juli-Dezember 2024): Versuch, Widerstand durch Wiederholung zu zermürben – monatlich neue Versionen mit minimalen Änderungen. ↩︎
53. Bundesverfassungsgericht, 2. März 2010: Verbot der Vorratsdatenspeicherung wegen Grundrechtsverletzungen. ↩︎
54. Bundesverfassungsgericht, 10. April 2018: Bestätigung, keine anlasslose Massenüberwachung erlaubt. ↩︎
55. Bundesverfassungsgericht, November 2020: BND-Überwachungsbefugnisse für Ausländer gekippt, Grundrechte gelten universal. ↩︎
56. Bundesverfassungsgericht, Februar 2023: Länder-Quellen-Telekommunikationsüberwachung (Staatstrojaner) teilweise verfassungswidrig. ↩︎
57. Bundesverfassungsgericht: Vier Prinzipien – Grundrechte absolut, Verhältnismäßigkeit bindend, richterliche Kontrolle zwingend, Kerndaten unantastbar. ↩︎
58. Deutsche Innenministerkonferenz, Juni 2021: Erneute Forderung nach Vorratsdatenspeicherung, euphemistisch als „Quick Freeze" umbenannt. ↩︎
59. Uwe Schünemann (CDU), Innenminister Niedersachsen, Juli 2024: Gesetzentwurf für „anlassloses Speichern von IP-Adressen für 18 Tage". ↩︎
60. Nancy Faeser (SPD), Bundesinnenministerin, September 2024: Gesetzentwurf zur Biometriedatensammlung aus öffentlich zugänglichen Internetquellen. ↩︎
61. CDU/CSU, Anfang 2025: Forderung nach Gesichtserkennung in öffentlichen Räumen trotz AI-Act-Verbot. ↩︎
62. Ampelkoalition (SPD-Grüne-FDP): Fundamentale Spaltung, gesetzgeberischer Stillstand seit SpaceNet 2022. ↩︎
63. Umfragen September 2024: CDU/CSU 32%, SPD 15%, Grüne 10%, FDP unter 5%-Hürfe. ↩︎
64. Wahrscheinlicher Regierungswechsel: CDU/CSU-geführte Koalition (CDU/CSU-SPD oder CDU/CSU-Grüne). ↩︎
65. CDU/CSU-Sicherheitshaltung: Historische Unterstützung Vorratsdatenspeicherung (2007 Gesetz eingeführt), Forderung Gesichtserkennung 2024. ↩︎
66. Friedrich Merz (CDU-Vorsitzender): Kritik an Chat Control als unverhältnismäßig; CDU/CSU-Abgeordnete Europaparlament stimmten gegen Client-Side-Scanning. ↩︎
67. Bundesverfassungsgericht: Historisches Muster des Kippens von Sicherheitsgesetzen (Volkszählungsurteil 1983, Großer Lauschangriff 1998, Vorratsdatenspeicherung 2010/2018, BND-Gesetz 2020, Staatstrojaner 2023). ↩︎
68. Stasi-Unterlagen-Behörde: Dokumentation über 100.000 Überwachungsopfer, kollektives Gedächtnis wirkt noch. ↩︎
69. Technische Communities (Chaos Computer Club, Forum InformatikerInnen für Frieden, Digitale Gesellschaft): Öffentliche Glaubwürdigkeit, Mobilisierung von Verfassungsbeschwerden. ↩︎
70. Deutsche Firmen FinFisher (Staatstrojaner, jetzt insolviert) und Trovicor (ehemalige Siemens/Nokia-Tochter): Belieferung autoritärer Regime. ↩︎
71. Exportkontrollgesetz 2021: Verschärfte Regeln, Durchsetzungsprobleme bleiben. ↩︎
72. European Organisation for Security (EOS), gegründet 2007: Über 50 Unternehmen (Leonardo, Thales, Airbus Defence & Space, Indra). ↩︎
73. EOS: Jährlicher „Vision Report" identifiziert „Sicherheitslücken" und schlägt technologische Lösungen vor. ↩︎
74. EOS: Sitze in Beratungsgremien der Europäischen Verteidigungsagentur, Beeinflussung Horizon-Europe-Forschungsausschreibungen. ↩︎
75. INDECT-Projekt 2009: Forschungskonsortium erhielt 12 Millionen Euro EU-Förderung, Konsortiumsmitglieder wurden später Lieferanten operativer Systeme. ↩︎
76. Europol: Expansion von 631 Mitarbeitern (2013) auf 1.500+ (2024). ↩︎
77. Europol, 2022: Neue Befugnisse für „proaktive Forschung" (Datenanalyse ohne spezifischen Verdacht). ↩︎
78. Europol, 2026-2030: Forderung „Mandatsverdopplung" – Sabotage, hybride Bedrohungen, Desinformation, Migrationskriminalität. ↩︎
79. „Going-Dark"-Arbeitsgruppe: Vom Europaparlament 2021 enthüllt, entwickelte Vorschläge für verschlüsselte Kommunikationsüberwachung unter Ausschluss von Zivilgesellschaft und Parlament. ↩︎
80. „Going-Dark"-Arbeitsgruppe: Teilnehmer aus Innenministerien, Europol, FBI (beratend), NSA (inoffiziell). ↩︎
81. Post-9/11: Terrorismusbekämpfung rechtfertigte Vorratsdatenspeicherung innerhalb von drei Monaten. ↩︎
82. Migrationskrise 2015-2016: „Smart Borders"-Initiativen, biometrische Erfassung aller Nicht-EU-Bürger an Grenzen. ↩︎
83. Ukraine-Krieg 2022: Rechtfertigung für „hybride Bedrohungsabwehr", Europol-Erweiterung. ↩︎
84. Chat Control: Nutzung von Kinderschutz als moralischer Imperativ, Kritiker als Täterunterstützer gerahmt. ↩︎
85. Ylva Johansson, 2022: „Wenn Sie gegen Chat Control sind, erklären Sie, wie Sie die 20 Millionen Kinder schützen wollen, die jährlich missbraucht werden." ↩︎
86. Ylva Johanssons Zahl statistisch falsch überhöht; tatsächliche Opferzahl weltweit: ca. 1-2 Millionen jährlich. ↩︎
87. Corporate Europe Observatory und LobbyControl, 2021: 612 Unternehmen/Gruppen lobbyieren zur digitalen Wirtschaft – größter Lobbysektor EU. ↩︎
88. Top-10-Lobbyausgeber: 32 Millionen Euro (Google 5,8 Mio. €, Facebook, Microsoft, Apple, Huawei, Amazon, IBM, Intel, Qualcomm, Vodafone). ↩︎
89. ePrivacy-Verordnung 2016-2017: Deutsche Telekom (5 Kommissionstreffen), Microsoft (5), Google (3), Facebook (2). ↩︎
90. Big Tech: Ablehnung von Privacy-by-Default-Einstellungen bei ePrivacy-Verordnung. ↩︎
91. Resultat ePrivacy-Blockade: Rat schlug vor, Vorratsdatenspeicherung entgegen Gerichtsurteilen zu legalisieren. ↩︎
92. European Digital Rights (EDRi): Netzwerk von 40+ NGOs, zentrale Kampagnen gegen Vorratsdatenspeicherung (2005, 2011), ACTA (2012 erfolgreich abgelehnt), für ePrivacy, gegen Chat Control, gegen biometrische Massenüberwachung (Reclaim Your Face mit 76 Organisationen). ↩︎
93. Zivilgesellschaftliche NGOs: Access Now, La Quadrature du Net, Privacy International, Statewatch ergänzen EDRi-Netzwerk. ↩︎
94. NGO-Erfolge: Gerichtsverfahren (Vorratsdatenspeicherungsrichtlinie ungültig), Mobilisierung von Abgeordneten (Parlament stimmte für Biometrie-Verbot im AI Act), technische Expertise. ↩︎
95. Sophie in 't Veld (Renew Europe, Niederlande): Prominenteste Anti-Überwachungs-Abgeordnete. ↩︎
96. Sophie in 't Veld, PEGA-Untersuchungsausschuss (April 2022-Juni 2023): „Mehrere EU-Regierungen missbrauchten ihre Befugnisse", EU „nicht ausgerüstet, auf Angriffe auf Demokratie von innen zu reagieren". ↩︎
97. Sophie in 't Veld: Verklagte 2008 US Department of Homeland Security wegen PNR-Datensammlung; EuGH 2014 urteilte, sie habe Zugang zu Ratsdokumenten. ↩︎
98. Patrick Breyer (Piratenpartei/Grüne-EFA): Doktortitel über Vorratsdatenspeicherung (2004); Verfassungsbeschwerde führte 2012 zur teilweisen Ungültigkeitserklärung durch Bundesverfassungsgericht. ↩︎
99. Patrick Breyer: Enthüllte EU-„Going-Dark"-Arbeitsgruppe, die Massenüberwachungsvorschläge unter Ausschluss von NGOs vorbereitete. ↩︎
100. Patrick Breyer: Nannte „Going-Dark"-Arbeitsgruppe „undemokratisch", dokumentiert konsistent falsche Behauptungen über Vorratsdatenspeicherungs-Effektivität. ↩︎
101. Institutionelle Dynamik: Parlament (Grundrechtsverfechter), Rat (Strafverfolgung/Geheimdienste), Kommission (zwiespältig). ↩︎
102. Europäischer Datenschutzbeauftragter: Moralische Autorität, aber begrenzte Durchsetzungsmacht – vom Rat häufig ignoriert. ↩︎
103. Erfolge der Sicherheitsindustrie: Regierungs-zu-Regierungs-Befürwortung durch Rat, Rahmung von Migration/Kriminalität als existenzielle Bedrohungen, Post-Anschlag-Politikmomente, Einbettung in Beratungsgremien. ↩︎
104. Erfolge der Zivilgesellschaft: Gerichtsverfahren, Mobilisierung von Abgeordneten, öffentliche Kampagnen, technische Expertise. ↩︎
105. Februar 2025: ePrivacy-Verordnung zurückgezogen, Richtlinie von 2002 bleibt bestehen. ↩︎
106. DSGVO seit Mai 2018: Strafverfolgung und nationale Sicherheit weitgehend ausgenommen. ↩︎
107. Resultat: Flickenteppich mitgliedstaatlicher Gesetze, viele kollidieren mit EuGH-Rechtsprechung, werden aber weiter angewandt. ↩︎
108. Deutschland: Seit SpaceNet 2022 kein neues Gesetz wegen Koalitionsblockade. ↩︎
109. Frankreich: Kodifizierung permanenten Ausnahmezustands zur Nutzung der La-Quadrature-Ausnahme. ↩︎
110. Irland, 2024: Umstrittenes Interception-Gesetz für verschlüsselte Plattformen mit „Mängeln". ↩︎
111. Technologische Entwicklungen: KI-Verhaltensanalyse, Client-Side-Scanning, kommerzielle Spyware, verschlüsselte Messaging-Apps, biometrische Massenüberwachung schaffen Fakten vor Gesetzgebung. ↩︎
112. EU-US Data Privacy Framework, Juli 2023: Überdauerte erste jährliche Überprüfung November 2024, aber Max Schrems bereitet „Schrems III" vor. ↩︎
113. Zentrale Bedenken EU-US-Framework: FISA 702, EO 12333 erlauben generalisierten Zugriff, Data Protection Review Court ohne bekannte Abhilfeergebnisse, CLOUD Act schafft Jurisdiktionskonflikte. ↩︎
114. Ironie: EuGH blockierte 2020 EU-US-Datentransfers wegen US-Überwachung, während vergleichbare EU-Mitgliedstaaten-Überwachung (UK TEMPORA, französische DGSE, schwedische FRA, deutsche BND-NSA-Kooperation) milder behandelt wird. ↩︎
115. Kommerzielle Spyware (Pegasus): Zero-Click-Hacking, vollständiger Gerätezugriff, Umgehung von Verschlüsselung – operiert außerhalb traditionellen Telekommunikationsüberwachungsrahmens. ↩︎
116. Ungarn, Polen, Spanien, Griechenland, Belgien: Nachweisliche Pegasus-Nutzung; nationale Sicherheitsausnahme begrenzt EU-Maßnahmen. ↩︎
117. EU-Parlament, November 2022: Forderung nach EU-Befugnissen gegen Spyware-Missbrauch kollidiert mit Artikel 4(2) EUV: „Nationale Sicherheit in alleiniger Verantwortung jedes Mitgliedstaats." ↩︎
118. Deutschland: Wahrscheinliche Sperrminorität oder Enthaltung bei Chat-Control-Abstimmung 14. Oktober 2025, verhindert qualifizierte Mehrheit. ↩︎
119. CDU/CSU: Wahrscheinlich nächste Regierung (Umfragen), CDU/CSU-Opposition gegen Chat Control fest. ↩︎
120. Mittelfristig (2026-2029): CDU-Regierung könnte sicherheitsorientierter sein, aber Verfassungsgerichtsbeschränkungen bleiben unabhängig von Regierung. ↩︎
121. Langfristig: Verfassungsgericht als Bremse, deutsche Rechtskultur betont Verhältnismäßigkeit und Grundrechte, historische Erinnerung an Überwachungsstaaten (Nazi, Stasi) einflussreich, wachsende technische Expertise in Bundestag und Zivilgesellschaft. ↩︎
122. Chat Control 2.0: Kritische Abstimmung Oktober 2025; selbst wenn blockiert, ähnliche Vorschläge unter Kinderschutzbanner werden wiederkehren. ↩︎
123. EU-US-Data-Privacy-Framework: Haltbarkeit durch potenzielle „Schrems III"-Klage getestet. ↩︎
124. Europol-Befugnisse, 2026: „Ehrgeizige Überarbeitung" einschließlich Personalverdopplung, Ausweitung auf Sabotage, hybride Bedrohungen, Informationsmanipulation. ↩︎
125. Interoperabilität großer IT-Systeme: SIS, EES, ETIAS, VIS, Eurodac, Prüm schaffen umfassende Überwachungsarchitektur. ↩︎
126. AI-Act: Lücke zwischen Verboten und Mitgliedstaaten-Implementierung (Ungarn, Tschechien, Österreich testen bereits Grenzen) wird sich vergrößern. ↩︎
127. ePrivacy-Verordnung: Bleibt in legislativem Vakuum; Richtlinie von 2002 ist für 2025 ungeeignet. ↩︎