Großbritannien plant verpflichtendes Scanning auf Smartphones – Überwachung soll künftig direkt im Betriebssystem ansetzen.
Großbritannien plant eine Totalüberwachung von Smartphones unter Berufung auf den Kinderschutz und greift damit tief in die technische und rechtliche Struktur digitaler Endgeräte ein. Geplant ist, Smartphones per Gesetz zu Überwachungsgeräten zu machen, inklusive Pflicht-Scanning im Betriebssystem und Alterskontrollen für VPN-Dienste. Damit rückt eine staatlich verordnete Totalüberwachung von Smartphones erstmals als verbindlicher Regulierungsstandard in greifbare Nähe.
Großbritannien treibt den Umbau zur digitalen Kontrollgesellschaft mit bemerkenswerter Konsequenz voran. Gemäß Reclaim The Net sehen Gesetzesinitiativen vor, nahezu jedes Smartphone und Tablet künftig mit fest integrierter, nicht entfernbarer Überwachungssoftware auszustatten. Der Eingriff geht dabei tief. Inhalte sollen direkt auf dem Endgerät analysiert werden, bevor Verschlüsselung greift, ohne Zustimmung der Nutzer und außerhalb ihrer Kontrolle. Unter dem Begriff des Kinderschutzes entsteht ein System, das private Geräte in dauerhafte Prüfstationen verwandelt. Damit plant Großbritannien eine Totalüberwachung von Smartphones und verankert diese als Teil seiner aktuellen Gesetzeserweiterungen.
Pflicht-Scanning auf jedem Smartphone
Ein zentraler Ansatzpunkt der aktuellen Debatte sind vorgeschlagene Änderungen am britischen Children’s Wellbeing and Schools Bill. In entsprechenden Änderungsanträgen fordern Abgeordnete, dass künftig alle internetfähigen Smartphones und Tablets, die im Vereinigten Königreich verkauft werden, mit einer manipulationssicheren Systemsoftware ausgestattet sein müssen. Diese soll verhindern, dass Darstellungen sexuellen Kindesmissbrauchs aufgenommen, gespeichert, angesehen oder übertragen werden, ausdrücklich auch im Rahmen von Livestreams.
Hersteller, Importeure und Händler wären infolge gesetzlich verpflichtet, Geräte nur noch mit dieser Funktion auszuliefern. Ein Abschalten oder Entfernen wäre unzulässig. Die Überwachung wäre kein optionales Feature, sondern Pflichtbestandteil des Betriebssystems.
Pflicht-Scanning als technischer Zwang zur Totalüberwachung
In der Praxis ist ein solches Verbot technisch nur durch permanente Inhaltsanalyse umsetzbar. Fotos, Videos, Bildschirmaufnahmen und Kommunikationsinhalte müssten kontinuierlich geprüft werden, um verdächtiges Material überhaupt erkennen zu können. Das betrifft zwangsläufig auch private und verschlüsselte Inhalte.
Mit dem geplanten Pflicht-Scanning direkt im Betriebssystem wird deutlich, dass Großbritannien eine Totalüberwachung von Smartphones plant, da Inhalte bereits auf dem Endgerät und noch vor der Verschlüsselung kontrolliert werden sollen. Das sogenannte Client-Side-Scanning verlagert die Kontrolle damit vollständig auf das persönliche Gerät der Nutzer. Ende-zu-Ende-Verschlüsselung bleibt formal bestehen, verliert jedoch ihre Schutzwirkung, wenn Inhalte bereits vor dem Verschlüsseln analysiert werden.
Die Pläne erinnern stark an frühere Vorstöße der EU zur Chatkontrolle, bei denen ebenfalls eine Vorabprüfung privater Kommunikation vorgesehen war.
Fehleranfällige Systeme mit realen Opfern
Dass automatisierte Inhaltskontrollen keineswegs treffsicher sind, zeigen offizielle Zahlen aus Deutschland. Laut Bundeskriminalamt waren 2024 fast die Hälfte aller CSAM-Meldungen (Child Sexual Abuse Material, Darstellungen sexuellen Kindesmissbrauchs) falsch positiv. Zehntausende legale Bilder und Videos wurden gemeldet, geprüft und teilweise an Ermittlungsbehörden weitergeleitet obwohl kein strafbarer Inhalt vorlag.
Laut Bundeskriminalamt gingen 2024 205.728 Hinweise des US-amerikanischen National Center for Missing and Exploited Children (NCMEC) ein. 106.353 davon waren nach deutschem Recht mit strafrechtlichem Bezug. Damit blieben 99.375 Meldungen ohne strafrechtliche Relevanz.
CSAM-Scanning: Technik, Fehlalarme und falsche Verdächtigungen
Die hohe Zahl an Fehlmeldungen ist die direkte Folge der Funktionsweise automatisierter CSAM-Erkennungssysteme. Diese Systeme treffen keine juristischen Bewertungen, sondern arbeiten mit technischen Näherungen wie Hash-Abgleichen bekannter Dateien, KI-gestützter Bildanalyse und heuristischen Mustern. Die Erkennung beschränkt sich dabei auf Ähnlichkeiten, Wahrscheinlichkeiten und formale Merkmale, nicht jedoch auf Kontext, Absicht oder Rechtmäßigkeit.
Ein Großteil der Falsch-Meldungen entsteht, weil Inhalte irrtümlich als verdächtig eingestuft werden, obwohl sie legal sind. Dazu zählen etwa private Familienfotos, medizinische Aufnahmen, Bilder aus Aufklärungs- oder Dokumentationskontexten oder Dateien, die lediglich visuelle Ähnlichkeiten mit bekannten Missbrauchsdarstellungen aufweisen. Bereits minimale Abweichungen wie ein anderes Bildformat, ein zugeschnittener Ausschnitt oder ein Screenshot können dazu führen, dass ein Hash-Vergleich anschlägt oder eine KI ein hohes Risikosignal ausgibt.
Hinzu kommt ein struktureller Anreiz zur Übermeldung. Unternehmen, die solche Scan-Systeme einsetzen, melden im Zweifel lieber zu viel als zu wenig, um rechtliche Risiken zu vermeiden. Jede Meldung, die automatisiert an das NCMEC weitergeleitet wird, gilt zunächst als Verdachtsfall, unabhängig davon, ob tatsächlich ein Straftatbestand vorliegt. Die rechtliche Prüfung erfolgt erst später durch nationale Behörden wie das Bundeskriminalamt.
Die hohe Fehlerquote ist die Folge einer bewusst grob angelegten technischen Vorselektion, während die rechtliche Einordnung erst im Rahmen einer detaillierten Einzelfallprüfung erfolgt. Was automatisierte Systeme massenhaft aussortieren, stellt sich bei menschlicher Prüfung oft als legal heraus. Dass 2024 fast die Hälfte aller an das BKA weitergeleiteten NCMEC-Hinweise nicht strafbar war, zeigt, wie weit diese beiden Ebenen auseinanderliegen.
Diese Fehlalarme stammen aus Systemen, die heute schon von großen Plattformen eingesetzt werden. Werden solche Mechanismen verpflichtend und direkt auf Endgeräte verlagert, steigt das Risiko massiver Grundrechtsverletzungen weiter. Betroffen sind nicht Täter, sondern vor allem Unbeteiligte.
Vom Plattform-Scanning zur Geräteüberwachung
Der Zusammenhang zur geplanten Totalüberwachung von Smartphones ist damit unmittelbar. Während heutige Fehlmeldungen überwiegend aus plattformseitigem Scanning stammen, also aus Cloud-Diensten und Messengern, würde das britische Pflicht-Scanning die gleiche fehleranfällige Logik direkt auf jedes Endgerät verlagern. Die Zahl der gescannten Inhalte würde explodieren. Nicht nur geteilte Dateien, sondern jede Aufnahme, jeder Screenshot und auch alle gespeicherten Bilder.
Damit steigt zwangsläufig auch die Zahl falscher Verdachtsmeldungen. Derzeit betrifft das Scanning vor allem Millionen hochgeladener Dateien. Künftig würde es Milliarden privater Inhalte erfassen, die nie für eine Weitergabe vorgesehen waren. Jeder Fehlalarm hätte zudem reale Folgen wie automatische Sperren, Meldungen an Behörden, Durchsuchungen, Datenweitergaben und langwierige Ermittlungen gegen Unschuldige.
Die deutschen Zahlen zeigen, dass automatisierte Inhaltskontrollen selbst unter heutigen, vergleichsweise begrenzten Bedingungen bereits massenhaft versagen. Wird dieses Prinzip per Gesetz zur Pflicht und tief im Betriebssystem verankert, verwandelt sich ein bekannt fehleranfälliges Filtersystem in eine flächendeckende Überwachungsinfrastruktur mit systematisch produzierten Falschverdächtigungen.
VPNs nur noch nach Altersprüfung
Parallel zur Geräteüberwachung nimmt das Gesetz auch VPN-Dienste ins Visier. Anbieter sollen verpflichtet werden, „hochwirksame Altersverifikationsmaßnahmen“ einzuführen, um Minderjährige von der Nutzung auszuschließen.
Zwar als Schutzmaßnahme verkauft, bedeutet es faktisch das Ende anonymer VPN-Nutzung. Alterskontrollen setzen Identitätsprüfungen voraus wie Ausweisdaten, biometrische Verfahren oder zentrale Verifikationsdienste. Damit verlieren VPNs genau jene Schutzfunktion, für die sie genutzt werden, nämlich Anonymität und Schutz vor Tracking.
Online Safety Act: Vorzensur als Standard
Die Smartphone-Pläne fügen sich nahtlos in eine bereits laufende Entwicklung ein. Vor der Verschärfung des Online Safety Act waren Plattformen in erster Linie zu reaktiven Maßnahmen verpflichtet. Inhalte wurden nach Veröffentlichung und Meldung geprüft, nicht flächendeckend im Voraus. Eine gesetzliche Pflicht zur präventiven Inhaltskontrolle oder zum Scannen privater Kommunikation bestand nicht.
Mit den am 8. Januar 2026 in Kraft getretenen „Online Safety Act 2023 (Priority Offences) (Amendment) Regulations 2025“ wurde der Pflichtenkatalog erweitert. Dienste müssen nun auch gegen zusätzliche „Priority Offences“ aktiv vorgehen. Der Gesetzestext selbst nennt diese Konsequenz zwar nicht ausdrücklich „präventives Scanning“, die erweiterten Sorgfalts- und Risikominderungspflichten erzeugen jedoch faktisch erheblichen Druck auf Anbieter, proaktive Erkennungs- und Präventionsmaßnahmen einzusetzen.
Mit der jüngsten Verschärfung des Online Safety Act verpflichtet Großbritannien Plattformen damit zu umfassenden Maßnahmen gegen illegale und schädliche Inhalte im Rahmen ihrer gesetzlichen Sicherheits- und Risikominderungspflichten, einschließlich technischer Systeme, die Risiken erkennen, unterbinden oder entfernen. Dies erklärte das britische Ministerium für Wissenschaft, Innovation und Technologie (DSIT) in einer offiziellen Pressemitteilung.
Dienste müssen Kommunikation überwachen, Bilder analysieren und Texte bewerten, um mögliche Gesetzesverstöße möglichst frühzeitig zu verhindern. Das Ergebnis ist keine punktuelle Moderation mehr, sondern eine umfassende Vorabkontrolle digitaler Kommunikation. Diese Logik verteidigte die Ministerin für Kinderschutz, Jess Phillips, mit deutlichen Worten:
„Cyberflashing war viel zu lange nur eine weitere erniedrigende Form des Missbrauchs, die Frauen und Mädchen ertragen mussten. Das ändern wir.“
Entscheidend ist dabei der von ihr beschriebene Mechanismus: „Indem wir die Verantwortung den Technologieunternehmen übertragen, diese abscheulichen Inhalte zu blockieren, bevor die Nutzer sie sehen, verhindern wir, dass Frauen und Mädchen überhaupt erst Schaden erleiden.“
Dieser Anspruch auf Vorabkontrolle macht deutlich, dass es nicht um punktuelle Moderation, sondern um flächendeckendes präventives Scanning digitaler Kommunikation auf Systemebene geht.
Ein System mit Expansionspotenzial: Ofcom und der Angriff auf Verschlüsselung
Problematisch ist dabei die Rolle der Medienaufsicht Ofcom. Reclaim The Net informierte darüber, dass die britische Regulierungsbehörde für die Kommunikationsdienste künftig befugt sein soll, Messenger-Dienste zur Installation sogenannter „akkreditierter Technologien“ zu zwingen. Gemeint sind Scan-Systeme, die Nachrichten vor der Verschlüsselung überprüfen.
Die britische Regierung plant, diese Befugnisse ab April 2026 aktiv zu nutzen. Damit wäre private, verschlüsselte Kommunikation faktisch Geschichte, zumindest innerhalb der britischen Rechtsordnung.
Hat ein Staat jedoch erst die technische Infrastruktur für verpflichtendes Scanning auf breiter Basis geschaffen, lässt sich deren Zweck jederzeit ausweiten. Heute geht es um Kindesmissbrauch, morgen um „Extremismus“, „Hassrede“ oder politisch unerwünschte Inhalte.
Die Architektur für permanente Kontrolle wäre bereits vorhanden. Was durchsucht wird, entscheidet dann nicht mehr die Technik, sondern die politische Mehrheit.
Sicherheit als Vorwand für Kontrollverlust
Mit dem geplanten Pflicht-Scanning direkt im Betriebssystem überschreitet Großbritannien eine Grenze, die bislang selbst in autoritären Staaten mit umfassender Netz- und Plattformüberwachung wie China oder Russland nicht systematisch direkt im Betriebssystem privater Geräte durchgesetzt wird. Private Endgeräte werden so zu staatlich regulierten Kontrollinstanzen, Verschlüsselung hätte keine Schutzwirkung und Anonymität wird damit zum Problem.
Großbritannien plant mit den Gesetzeserweiterungen Maßnahmen, die die infrastrukturellen Voraussetzungen für eine Totalüberwachung von Smartphones schaffen könnten.
