• Chatkontrolle: Was die Entscheidung des EU-Parlaments für die Vertraulichkeit unserer Kommunikation bedeutet

    9. Juli 2026 – Das Europäische Parlament hat heute den Weg für die Neuauflage der sogenannten „freiwilligen Chatkontrolle” freigemacht. Hinter dem sperrigen Begriff steht eine Frage, die jeden betrifft, der ein Smartphone nutzt: Dürfen private Nachrichten automatisiert durchsucht werden, ohne dass ein konkreter Verdacht besteht? Wir erklären, worum es rechtlich geht und welche Folgen die Entscheidung für Grundrechte, Unternehmen und Bürger hat.

    Die Entscheidung

    Das Parlament hat die Neuauflage der Übergangsregelung passieren lassen. Damit dürfen Anbieter von Messenger-, E-Mail- und Hostingdiensten private, unverschlüsselte Kommunikation wieder freiwillig und automatisiert auf Darstellungen sexuellen Kindesmissbrauchs (CSAM) durchsuchen – abweichend von den Vorgaben der ePrivacy-Richtlinie, die die Vertraulichkeit elektronischer Kommunikation eigentlich streng schützt. Die Regelung gilt bis 2028 oder bis zu einer Einigung auf die dauerhafte CSA-Verordnung.

    Immerhin: Ende-zu-Ende-verschlüsselte Kommunikation wurde ausdrücklich vom Anwendungsbereich ausgenommen. Praktisch ändert das wenig – verschlüsselte Inhalte konnten und können Anbieter ohnehin nicht mitlesen –, rechtlich ist die Klarstellung aber ein wichtiges Signal für den Schutz der Verschlüsselung, das auch die europäischen Datenschutzaufsichtsbehörden seit Jahren einfordern.

    Worum geht es eigentlich? „Chatkontrolle 1.0” und „2.0”

    Unter dem Schlagwort „Chatkontrolle” werden zwei verschiedene Regelungsvorhaben zusammengefasst, die rechtlich sauber getrennt werden müssen:

    Die „Chatkontrolle 1.0” ist die befristete Verordnung (EU) 2021/1232 (Interim-Verordnung). Sie erlaubte es Anbietern wie Meta, Google oder Microsoft, freiwillig und in Abweichung von der ePrivacy-Richtlinie unverschlüsselte Nachrichten und Dateien automatisiert auf bekanntes Missbrauchsmaterial zu scannen. Diese Ausnahme lief Anfang April 2026 aus. Ihre Neuauflage – befristet bis 2028 – hat das Parlament heute passieren lassen.

    Die „Chatkontrolle 2.0” ist die weitergehende CSA-Verordnung, die die EU-Kommission im Mai 2022 vorgeschlagen hat. Sie würde Anbieter auf Grundlage behördlicher „Aufdeckungsanordnungen” zum Scannen verpflichten – nach dem ursprünglichen Entwurf auch bei Ende-zu-Ende-verschlüsselten Diensten mittels Client-Side-Scanning, also der Prüfung von Inhalten direkt auf dem Endgerät vor der Verschlüsselung. Über diese Verordnung verhandeln Parlament, Rat und Kommission weiterhin im Trilog. Die heutige Entscheidung betrifft sie nicht unmittelbar – sie zeigt aber, in welche Richtung sich die europäische Debatte über die Vertraulichkeit digitaler Kommunikation entwickelt.

    Wichtig zum Verständnis: „Freiwillig” bedeutet in diesem Zusammenhang nicht, dass Nutzerinnen und Nutzer dem Scannen zustimmen. Freiwillig ist die Entscheidung allein für den Anbieter – wessen Nachrichten durchsucht werden, entscheidet nicht die betroffene Person und auch keine unabhängige Stelle.

    Die grundrechtliche Dimension: Warum das Scannen privater Kommunikation so heikel ist

    Der Schutz von Kindern vor sexualisierter Gewalt ist ein Ziel von überragender Bedeutung – daran besteht kein Zweifel, und keine seriöse datenschutzrechtliche Kritik stellt dieses Ziel in Frage. Die rechtliche Frage lautet vielmehr: Ist das anlasslose Durchsuchen der Kommunikation aller Nutzer ein verhältnismäßiges Mittel?

    Betroffen sind zentrale Grundrechte:

    Die Vertraulichkeit der Kommunikation ist Teil des Rechts auf Achtung des Privatlebens nach Art. 7 der EU-Grundrechtecharta; hinzu kommt das Recht auf Schutz personenbezogener Daten nach Art. 8 GRCh. In Deutschland schützt zudem Art. 10 GG das Fernmeldegeheimnis – das digitale Pendant zum Briefgeheimnis.

    Der Europäische Gerichtshof hat in ständiger Rechtsprechung (u. a. Digital Rights Ireland, Tele2 Sverige/Watson, La Quadrature du Net) enge Grenzen für anlasslose Überwachungsmaßnahmen gezogen. Besonders relevant: Maßnahmen, die Behörden einen generalisierten Zugriff auf Kommunikationsinhalte eröffnen, können nach dieser Rechtsprechung den Wesensgehalt der Grundrechte aus Art. 7 und 8 GRCh berühren – also jenen Kernbereich, der auch durch legitime Ziele nicht angetastet werden darf.

    Genau hier setzt die Kritik des Europäischen Datenschutzausschusses (EDSA) und des Europäischen Datenschutzbeauftragten (EDPS) an. In ihrer Gemeinsamen Stellungnahme 04/2022 zur CSA-Verordnung kommen beide Institutionen zu dem Ergebnis, dass insbesondere die Erkennung unbekannten Materials und von „Grooming” wegen ihrer Eingriffstiefe, ihres probabilistischen Charakters und der Fehlerquoten der eingesetzten Technologien über das erforderliche und verhältnismäßige Maß hinausgeht. Zur Verschlüsselung fordern EDSA und EDPS ausdrücklich eine gesetzliche Klarstellung, dass nichts in der Verordnung als Verbot oder Schwächung von Verschlüsselung ausgelegt werden darf (Joint Opinion 04/2022, sinngemäß aus dem Englischen). Denn Ende-zu-Ende-Verschlüsselung garantiert technisch, dass ausschließlich Absender und Empfänger Inhalte lesen können – jede Scan-Infrastruktur, ob serverseitig oder auf dem Endgerät, durchbricht dieses Versprechen strukturell und schafft Sicherheitslücken, die auch Kriminelle und fremde Staaten ausnutzen können.

    Was sagt die deutsche Datenschutzaufsicht? Die Position der BfDI

    Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat sich wiederholt und deutlich positioniert. Das Ziel der Missbrauchsbekämpfung sei „überaus wichtig und grundsätzlich zu unterstützen” – der EU-Gesetzgeber schieße mit seinem Vorschlag jedoch „deutlich über das verfolgte Ziel hinaus”. Die Chatkontrolle biete kaum Schutz für Kinder, wäre aber „Europas Einstieg in eine anlasslose und flächendeckende Überwachung der privaten Kommunikation”.

    Drei Punkte der BfDI-Analyse verdienen besondere Beachtung:

    Kein Schutz für Berufsgeheimnisträger: Von den geplanten Scan-Pflichten der CSA-Verordnung sind keine Ausnahmen vorgesehen – auch nicht für die Kommunikation zwischen Anwältin und Mandant oder Arzt und Patientin. Das gesetzlich geschützte Berufsgeheimnis (§ 203 StGB, § 43a BRAO) würde faktisch ausgehöhlt.

    Untragbare Fehlerquoten: Die eingesetzten Erkennungstechnologien weisen nach den Feststellungen der BfDI teils Fehlerquoten von bis zu 12 % auf. Bei einem Dienst wie WhatsApp mit rund zwei Milliarden Nutzern könnten so bis zu 240 Millionen Menschen zu Unrecht der Verbreitung von Missbrauchsmaterial verdächtigt werden. Auch EDSA und EDPS betonen: Selbst eine sehr niedrige Falsch-Positiv-Rate führt angesichts des Kommunikationsvolumens zu einer enormen absoluten Zahl von Falschverdächtigungen – mit gravierenden Folgen für die Betroffenen.

    Schwache Rolle der Aufsicht: Datenschutzbehörden sollen vor dem Technologieeinsatz lediglich unverbindliche Stellungnahmen abgeben können; eine laufende Kontrolle ist nicht vorgesehen. Bei Grundrechtseingriffen dieser Schwere hält die BfDI das für unzureichend.

    Konsequenzen für Tech-Unternehmen

    Für Anbieter von Kommunikations- und Hostingdiensten hat die heutige Entscheidung unmittelbare Compliance-Relevanz:

    Rechtsgrundlage wiederhergestellt: Anbieter erhalten wieder eine unionsrechtliche Grundlage für das freiwillige Scannen unverschlüsselter Inhalte – verbunden mit den Bedingungen und Meldepflichten der Übergangsverordnung. „Freiwillig” heißt dabei: Die Entscheidung, ob und wie gescannt wird, liegt beim Anbieter, nicht bei einer Behörde und nicht beim Nutzer. Unternehmen, die scannen, müssen Transparenzpflichten (Art. 13, 14 DSGVO), Betroffenenrechte und die Grundsätze der Datenminimierung beachten; das Fehlalarm-Risiko bleibt ein erhebliches Haftungs- und Reputationsthema.

    Die Lücke zwischen April und Juli bleibt heikel: Anbieter, die nach dem Auslaufen der alten Regelung im April weitergescannt haben, taten dies ohne unionsrechtliche Ausnahme – für diesen Zeitraum bestehen datenschutzrechtliche Risiken fort, die durch die heutige Entscheidung nicht rückwirkend geheilt werden.

    Für Ende-zu-Ende-verschlüsselte Dienste ändert die Entscheidung nichts – die Übergangsregelung nimmt verschlüsselte Kommunikation nun sogar ausdrücklich aus. Die eigentliche Richtungsentscheidung fällt im Trilog zur CSA-Verordnung. Unternehmen sollten jetzt prüfen, welche ihrer Kommunikationskanäle tatsächlich Ende-zu-Ende-verschlüsselt sind, welche Daten bei Anbietern liegen, die freiwillig scannen, und ob interne wie externe vertrauliche Kommunikation (etwa mit Rechtsberatern) über geeignete Kanäle läuft.

    Konsequenzen für Bürgerinnen und Bürger

    Für die rund 450 Millionen Menschen in der EU bedeutet anlassloses Scannen: Private Nachrichten, Familienfotos, intime Kommunikation werden algorithmisch durchsucht, ohne dass ein konkreter Verdacht besteht – so, als würde jeder Brief vor dem Zustellen geöffnet. Wer fälschlich als Treffer markiert wird, dessen Daten können an Meldestellen und Strafverfolgungsbehörden gelangen, mit allen Belastungen, die ein solcher Verdacht mit sich bringt. EDSA und EDPS warnen zudem vor einem Abschreckungseffekt („chilling effect”) auf die freie Kommunikation: Wer damit rechnen muss, mitgelesen zu werden, kommuniziert anders – das trifft besonders Journalisten, Whistleblower und Menschen in sensiblen Lebenslagen.

    Ausblick

    Die heutige Abstimmung ist nur eine Etappe. Die entscheidende Auseinandersetzung um die verpflichtende Chatkontrolle – einschließlich der Frage, ob Ende-zu-Ende-Verschlüsselung angetastet werden darf – wird im Trilog zur CSA-Verordnung geführt; die Verhandlungen werden im September fortgesetzt. Die Rechtsprechung des EuGH setzt dem Gesetzgeber dabei enge Grenzen; sollte eine anlasslose Scan-Pflicht kommen, ist mit gerichtlichen Verfahren bis hin zum EuGH fest zu rechnen. Wirksamer Kinderschutz und der Schutz der vertraulichen Kommunikation sind kein Widerspruch – zielgerichtete, anlassbezogene und verhältnismäßige Maßnahmen können beides verbinden. Genau das mahnen die Datenschutzaufsichtsbehörden Europas seit 2022 an.