Der Online Safety Act nimmt Pornoseiten ins Visier – während Täter Kinder in verschlüsselten Nachrichten anpeilen

Am 4. Dezember setzte Ofcom erstmals seinen „Hammer“ in Höhe von 1 Million Pfund gegen eine Pornoseite ein, weil diese das Alter ihrer Nutzer nicht überprüft hatte – und die Schlagzeilen explodierten. Endlich, dachten viele, tut der britische Online Safety Act (britisches Online-Sicherheitsgesetz) etwas Greifbares. Eine gefährliche Website wurde bestraft! Kinder geschützt! Moralischer Sieg erklärt!

Naja … nicht ganz.

Tatsächlich hat das Gesetz nur den einfachen Kampf gewonnen: die tief hängende, öffentlich sichtbare „Erwachsenen-Website-Frucht“. Währenddessen tobt der eigentliche Krieg – derjenige, der Kinder, Täter, Verschlüsselung und die Grenzen des Gesetzes betrifft – hinter digitalen verschlossenen Türen.

Willkommen in dem Teil des Online Safety Act, über den die Regierung lieber nicht möchte, dass Sie allzu intensiv nachdenken.

Die Lücke bei verschlüsselten Nachrichten, die niemand besitzen will

Aktuelle Berichte zeigen, dass britische Kinderschutzorganisationen wegen einer angeblich enormen Lücke im Online Safety Act in Panik geraten.

Kurz gesagt:

Verschlüsselte Messaging-Dienste können behaupten, dass sie schädliche Inhalte nicht entfernen können, weil … sie sie buchstäblich nicht sehen können.

Das ist kein Fehler; es ist der gesamte Sinn der Ende-zu-Ende-Verschlüsselung (E2EE). Nur Absender und Empfänger können Nachrichten sehen. Nicht die Plattform. Nicht die Regierung. Nicht einmal Ofcom mit dem größten verfügbaren juristischen Brecheisen.

Für die Privatsphäre ist das großartig. Für den Kinderschutz ist das katastrophal.

Nach dem Gesetz müssen Plattformen illegale Inhalte entfernen, wenn dies „technisch machbar“ ist. Und wenn Ihr gesamtes Geschäftsmodell darauf beruht, dass Sie „technisch nichts lesen können, was Nutzer senden“ – nun, herzlichen Glückwunsch. Sie haben gerade die weiche Unterseite des Gesetzes gefunden.

In einem Schreiben an Innenministerin Yvette Cooper und Technologieminister Peter Kyle warnen Organisationen wie NSPCC und Barnardo’s, dass dadurch ein digitales Schutzgebiet für Täter entstehe – insbesondere für jene, die Kinder anbahnen oder illegales Material über private Chats, geschlossene Gruppen oder flüchtige Kanäle teilen.

Mit anderen Worten:

Verschlüsselte Messaging-Apps müssen möglicherweise niemals kindesmissbrauchsrelevante Inhalte entfernen, weil das Gesetz ihnen erlaubt zu behaupten, dass sie es nicht können.

Warum das kein technisches Problem, sondern eine politische Zeitbombe ist

Die Regierung wollte zwei Dinge:

• Unknackbare Privatsphäre (damit sich Menschen bei der Nutzung von Messaging-Apps sicher fühlen).
• Unknackbaren Kinderschutz (damit Eltern und Wohltätigkeitsorganisationen aufhören zu protestieren).

Das Problem? Sie können eines auswählen. Sie können nicht beide haben. Nicht ohne Magie zu erfinden.

Ofcoms Code of Practice zu illegalen Schäden, veröffentlicht am 16. Dezember 2024, versuchte die Nadel einzufädeln, indem Verpflichtungen „wo möglich“ vorgesehen wurden – doch das schiebt das Problem lediglich zurück zu den Plattformen.

Verschlüsselte Plattformen sagen: „Wir können Nachrichten nicht scannen — das würde die Verschlüsselung aushebeln.“

Wohltätigkeitsorganisationen sagen: „Dann werden sich Täter dort verstecken.“

Die Regierung sagt: „…Haben Sie schon versucht, es aus- und wieder einzuschalten?“

Unterdessen wird Ofcoms Geldstrafe für die Pornoseite herumgereicht wie ein Beweis dafür, dass der Online Safety Act ein modernes Wunder sei – obwohl öffentliche Erwachsenen-Websites nie der schwierigste Teil dieses Gesetzes waren.

Der schwierige Teil ist dieser: Wie stoppt man Kriminelle in verschlüsselten Räumen, ohne alle Menschen ständig zu überwachen?

Und niemand hat eine zufriedenstellende Antwort geliefert.

Was macht Verschlüsselung zu einem Albtraum für Aufsichtsbehörden?

1. Ende-zu-Ende-Verschlüsselung ist darauf ausgelegt, alle außen vor zu lassen

   Plattformen haben keinen Zugriff auf die Inhalte der Nachrichten. Das ist ein Feature und kein Fehler.

2. Verschlüsselte Nachrichten zu scannen = die Verschlüsselung zu brechen

   Jedes System zur „Inhaltserkennung“ erfordert:

   • das Aufbrechen der Verschlüsselung,
   • das Scannen direkt auf dem Gerät vor der Verschlüsselung (Client-side-Scanning), oder
   • das Einbauen staatlich genehmigter Hintertüren.

   Alle drei Optionen versetzen Datenschutzexpertinnen und -experten in Angst – und das aus gutem Grund.

3. Täter nutzen den blinden Fleck aus

   Private Gruppen und verschlüsselte DMs (Direct Messages) sind zentrale Kanäle für Grooming, Erpressung, den Austausch von CSAM (Child Sexual Abuse Material, Material über sexuellen Kindesmissbrauch) und Menschenhandelsnetzwerke.

   Wohltätigkeitsorganisationen warnen, dass die Unklarheit des Gesetzes es Plattformen ermöglicht, sich genau dort der Verantwortung zu entziehen, wo das Risiko am höchsten ist. Die Internet Watch Foundation hat die aktuelle Formulierung als „offenkundige Ausstiegsklausel“ bezeichnet, die es Plattformen ermöglichen könnte, die Einhaltung von Online-Sicherheitsgesetzen zu umgehen.

4. Das Gesetz gibt vor, das Problem gelöst zu haben (hat es nicht)

   Politikerinnen und Politiker sprechen davon, „hart gegenüber Tech-Unternehmen“ aufzutreten, doch der eigentliche Konflikt – Privatsphäre versus Schutz – ist ungelöst und wahrscheinlich technisch nicht lösbar, ohne Kollateralschäden zu verursachen.

Das Ausmaß des Problems

Die Statistiken zeichnen ein beunruhigendes Bild:

Die Internet Watch Foundation berichtet, dass sie allein im Jahr 2024 Maßnahmen ergriffen hat, um Bilder oder Videos von Kindern, die sexuellen Missbrauch erleiden, auf 291.270 Webseiten zu entfernen – so viele wie noch nie in der 29-jährigen Geschichte der Organisation. Dies entspricht einem Anstieg um 830 %, seit sie 2014 damit begonnen hat, aktiv nach Darstellungen sexuellen Kindesmissbrauchs zu suchen.

Die National Crime Agency schätzt, dass es zwischen 680.000 und 830.000 erwachsene Straftäter im Vereinigten Königreich gibt, die in unterschiedlichem Ausmaß ein Risiko für Kinder darstellen – das entspricht 1,3 % bis 1,6 % der erwachsenen Bevölkerung des Vereinigten Königreichs.

Unterdessen berichtet die NSPCC, dass Snapchat die Plattform ist, die in Grooming-Fällen am häufigsten genannt wird.

Die Fragen, die offen bleiben

Lassen Sie sich nicht von den Schlagzeilen über „1 Million Pfund“ ablenken. Das Vorgehen gegen die Pornoseite ist nur die glänzende Oberfläche. Die Lücke bei verschlüsselten Nachrichten ist das darunterliegende Sinkloch.

Wenn das Vereinigte Königreich einen wirksamen Kinderschutz durchsetzen will, muss es Fragen beantworten, denen Gesetzgeberinnen und Gesetzgeber seit Jahren ausweichen:

• Soll Verschlüsselung im Namen der Sicherheit geschwächt werden?
• Sollten Unternehmen verpflichtet werden, Nachrichten auf den Geräten zu scannen?
• Sollten wir akzeptieren, dass einige Online-Räume immer undurchsichtig bleiben werden?
• Oder sollte die Regierung eingestehen, dass der Online Safety Act nicht leisten kann, was er verspricht?

Solange diese Fragen unbeantwortet bleiben, stehen wir vor einem Paradox: Die sichersten digitalen Räume für Erwachsene können die gefährlichsten für Kinder sein – und das Gesetz in seiner derzeitigen Form kann diesen Widerspruch nicht auflösen.

Ein globales Problem, nicht nur im Vereinigten Königreich

Das ist nicht nur ein britisches Problem. Das Verschlüsselungsparadox spielt sich gleichzeitig auf mehreren Kontinenten ab, und die Auswirkungen sind global.

In der Europäischen Union wird der umstrittene „Chat-Control“-Vorschlag seit Jahren diskutiert. Nach massivem Gegenwind einigten sich die EU-Mitgliedstaaten im November 2025 auf einen politischen Kompromiss, der die verpflichtende Überprüfung verschlüsselter Kommunikation fallen ließ. Kritikerinnen und Kritiker warnen jedoch, dass der „freiwillige“ Ansatz weiterhin einen indirekten Druck auf Plattformen ausüben könnte. Meredith Whittaker, die Präsidentin von Signal, hat gewarnt, dass das Unternehmen den EU-Markt verlassen würde, statt die Verschlüsselung zu kompromittieren.

In den Vereinigten Staaten bedrohen mehrere Gesetzesvorhaben die Verschlüsselung im Namen des Kinderschutzes. Der EARN IT Act (Eliminating Abusive and Rampant Neglect of Interactive Technologies Act) wurde seit 2020 bereits dreimal eingebracht, jedes Mal begleitet von heftigem Widerstand seitens Datenschutzbefürworterinnen und -befürwortern, die argumentieren, dass Plattformen die Ende-zu-Ende-Verschlüsselung aufgeben müssten, um Haftungsrisiken zu vermeiden.

Der STOP CSAM Act (S. 1829), der 2023 eingebracht und im Mai 2025 erneut vorgelegt wurde, schafft eine zivilrechtliche Haftung für Plattformen, die angeblich Kinderausbeutung „fördern oder erleichtern“ – eine Formulierung, von der Kritikerinnen und Kritiker sagen, sie könne verschlüsselte Dienste allein für ihre Existenz bestrafen. Senator Ron Wyden hat diese Gesetzentwürfe wiederholt abgelehnt und gewarnt, sie würden Unternehmen dazu zwingen, Verschlüsselung zu schwächen.

Das Muster ist unverkennbar: Demokratien weltweit ringen mit derselben unlösbaren Gleichung. Kinder schützen oder Privatsphäre schützen. Sicherheit wählen oder Schutz wählen. Verschlüsselung brechen oder blinde Flecken akzeptieren.

Und überall lautet die Antwort dieselbe: Es gibt keine gute Antwort.

Wenn im Vereinigten Königreich über dieses Thema debattiert wird, schaut der Rest der Welt zu. Wenn die EU einen Kompromiss schließt, setzt sie Präzedenzfälle. Wenn die USA Gesetze verabschieden, müssen sich global agierende Tech-Unternehmen anpassen. Die Verschlüsselungslücke im Online Safety Act ist nicht nur ein britisches Politikversagen – sie ist ein Vorgeschmack auf eine Krise, die noch keine demokratische Regierung zu lösen weiß.

Die Frage ist nicht, ob andere Länder vor diesem Dilemma stehen werden – das tun sie längst. Die Frage ist, ob eines von ihnen eine Lösung finden wird, die weder die Sicherheit von Kindern noch die Sicherheit aller anderen opfert.

Bislang scheint die Antwort nein zu lauten.