KI-Überwachung: EU-Datenschützer warnen vor massenhafter Kontrolle

Neue Bewertung erschüttert „Chat-Kontrolle” – Experten bezweifeln Zuverlässigkeit der Algorithmen. Datenschutzbehörden fordern strengere Prüfungen vor dem Einsatz staatlicher KI-Systeme.

Die Auseinandersetzung um staatliche Überwachung mittels Künstlicher Intelligenz erreicht eine neue Eskalationsstufe. Während der EU-Rat vergangene Woche für umstrittene Chat-Kontrolle stimmte, zeigt ein aktueller Evaluierungsbericht vom Freitag: Die geplanten KI-Algorithmen könnten Zehntausende rechtmäßige private Nachrichten fälschlicherweise der Polizei melden. Parallel verschärft die europäische Datenschutzaufsicht den Druck auf Unternehmen und Behörden, vor dem Einsatz von Überwachungstechnologie verpflichtende Datenschutz-Folgenabschätzungen durchzuführen.

Die am Freitag veröffentlichte Evaluation zur technischen Machbarkeit der Chat-Kontrolle lässt aufhorchen. Der Bericht untersucht automatisierte Scansysteme, die illegale Inhalte in privater Kommunikation aufspüren sollen – und kommt zu ernüchternden Schlüssen.

„Wir reden von Zehntausenden völlig legaler, privater Chats, die jährlich durch fehlerhafte Algorithmen und KI an die Polizei gelangen”, warnt der ehemalige EU-Abgeordnete und Datenschutzaktivist Patrick Breyer. Seine Analyse des Berichts zeigt: Aktuelle KI-Technologien können nicht zuverlässig zwischen illegalem Material und legalem, privaten Inhalt unterscheiden – die Fehlerquote bleibt dramatisch hoch.

Seit August 2024 gelten neue KI-Regeln – viele Unternehmen riskieren unwissentlich Bußgelder, wenn KI-Systeme nicht korrekt klassifiziert und dokumentiert sind. Das kostenlose Umsetzungs‑E‑Book zur EU‑KI‑Verordnung erklärt verständlich Kennzeichnungspflichten, Risikoklassen, erforderliche Dokumentation und praktische To‑dos für Entwickler, Anbieter und Anwender. Inklusive Checklisten, Fristenübersicht und Muster für Ihre DSFA, damit Sie rechtssicher handeln. Jetzt kostenlosen KI‑Umsetzungsleitfaden herunterladen

Das Problem liegt im Kern der Technologie. Um die von Strafverfolgungsbehörden geforderten Erkennungsraten zu erreichen, müssten KI-Systeme enorme Mengen an Metadaten und Inhalten verarbeiten. Das würde jedoch die Ende-zu-Ende-Verschlüsselung faktisch aushebeln – jene Technologie, die private Kommunikation überhaupt erst schützt.

Rechtliche Zwickmühle für Anbieter

Für Unternehmen entsteht dadurch ein gefährlicher Konflikt: Wer der Überwachungspflicht nachkommt, verstößt möglicherweise gegen die Datenschutz-Grundverordnung. Denn die DSGVO verlangt zwingend eine Datenschutz-Folgenabschätzung (DSFA), wenn Verarbeitungen ein hohes Risiko für Grundrechte bedeuten – was bei massenhafter Kommunikationsüberwachung unstrittig der Fall ist.

Der EU-Rat hatte am Mittwoch für eine Version gestimmt, die Kritiker als Freibrief für „unterschiedslose Massenüberwachung” bezeichnen. Diensteanbieter wären verpflichtet, KI-Erkennungssysteme einzusetzen – ohne dass geklärt ist, wie das mit bestehenden Datenschutzregeln vereinbar sein soll.

Datenschützer verschärfen Anforderungen

Während die politische Schlacht tobt, stellte die Europäische Datenschutzaufsicht (EDSA) vergangene Woche auf ihrer 57. Konferenz in Brüssel unmissverständlich klar: Die Schonfrist für KI ist vorbei.

„Künstliche Intelligenz ist eine Erweiterung menschlicher Kreativität, und die Regeln dafür müssen genauso dynamisch wachsen”, erklärte EDSA-Leiter Wojciech Wiewiórowski. Seit Februar gelten die Verbote des KI-Gesetzes, seit August die Pflichten für allgemeine KI-Systeme. Organisationen brauchen jetzt robuste Governance-Strukturen – Lippenbekenntnisse reichen nicht mehr.

Die Botschaft aus Brüssel ist eindeutig: Jedes staatlich eingesetzte KI-Werkzeug zu Überwachungszwecken – wie die geplanten Chat-Kontrolle-Scanner – muss eine öffentliche und gründliche Datenschutz-Folgenabschätzung durchlaufen. Diese muss nachweisen, dass keine unverhältnismäßigen Eingriffe in Bürgerrechte erfolgen.

Kommerzielle Forschung befeuert Überwachung

Eine aktuelle Studie enthüllt zudem: Ein erheblicher Teil der vermeintlich „akademischen” KI-Forschung wird direkt von Regierungsbehörden finanziert oder für Überwachungszwecke genutzt. Die Analyse, die am Samstag in wissenschaftlichen Medien diskutiert wurde, belegt Verträge zwischen US-Behörden wie dem Heimatschutzministerium und großen KI-Firmen für Drohnentracking und automatische Personenerkennung.

Für europäische Unternehmen bedeutet das ein Compliance-Risiko: Wer „handelsübliche” KI-Modelle dieser Anbieter für betriebliche Sicherheit nutzt, könnte unbeabsichtigt Überwachungsfunktionen importieren, die sofort DSFA-Pflichten auslösen. Die Grenze zwischen „kommerzieller Sicherheit” und „staatlicher Überwachung” verschwimmt – die Datenschutz-Folgenabschätzung wird zur entscheidenden Brandmauer.

Österreich hinkt bei Umsetzung hinterher

Trotz klarer Vorgaben aus Brüssel hapert es bei der nationalen Umsetzung. Österreich hat Ende November 2025 seine Marktüberwachungsbehörde für das KI-Gesetz noch nicht vollständig operationalisiert. Zwar erhielten bestehende Institutionen wie die Datenschutzbehörde (DSB) und die KommAustria seit November 2024 erweiterte Befugnisse zum Grundrechtsschutz, doch der zentrale Koordinationsmechanismus steckt in bürokratischen Mühlen fest.

Diese Verzögerung schafft Rechtsunsicherheit für österreichische Firmen. Ohne voll funktionsfähige Marktaufsicht fehlt bei der Durchführung von DSFAs für Hochrisiko-KI-Systeme eine definitive Anlaufstelle für Rückfragen. Rechtsexperten warnen: Das entbindet nicht von der Haftung – im Gegenteil, das Risiko nachträglicher Sanktionen steigt, wenn eine DSFA später als unzureichend eingestuft wird.

Was 2026 bringen wird

Das Zusammentreffen dieser Entwicklungen – Chat-Kontrolle-Vorstoß, verschärfte Compliance-Anforderungen und aufgedeckte KI-Überwachungsverbindungen – lässt ein konfliktreiches Jahr 2026 erwarten.

In den kommenden Wochen dürften Datenschutzorganisationen Klagen gegen die Chat-Kontrolle einreichen, sobald sie die finalen Gesetzgebungshürden nimmt. Die negativen Befunde des Evaluierungsberichts vom 28. November liefern dafür reichlich Munition.

Gleichzeitig steigt der Druck auf Unternehmen. Da die EDSA die Qualität von Datenschutz-Folgenabschätzungen genau prüft, werden die ersten großen Bußgelder oder Korrekturanordnungen gegen EU-Institutionen oder Firmen erwartet, die KI-Überwachungstools ohne angemessene Folgenabschätzung einsetzen.

Die Empfehlung für Datenschutzbeauftragte ist unmissverständlich: Jedes KI-Überwachungswerkzeug als Hochrisikosystem behandeln. Datenschutz-Folgenabschätzungen dürfen keine bürokratischen Pflichtübungen sein, sondern müssen substantielle Analysen der Grundrechtsauswirkungen darstellen. Die Kontrolle durch Aufsichtsbehörden und Öffentlichkeit ist schärfer denn je.

PS: Datenschutzbeauftragte und IT‑Verantwortliche aufgepasst – die EU‑KI‑Verordnung bringt neue Pflichten für Überwachungs‑KI. Holen Sie sich das gratis E‑Book mit praktischem Umsetzungsleitfaden, einer Vorlage zur Risikoklassifizierung und einer Checkliste für DSFAs. So vermeiden Sie Bußgelder und bereiten Reports für Aufsichtsbehörden vor. Ideal, um Compliance‑Lücken schnell zu schließen. Kostenlosen KI‑Leitfaden jetzt sichern