EU Chatkontrolle 2026: Warum Verschlüsselungs-Backdoors auch Unternehmen treffen

6 Min. Lesezeit

502 Kryptographen warnen, Signal droht mit EU-Marktaustritt, das Bundesverfassungsgericht erklärt Teile der Quellen-TKÜ für nichtig – und die EU verhandelt trotzdem weiter über die Chatkontrolle. Die CSAR-Verordnung steht im Trilog, die ePrivacy-Ausnahme für freiwilliges Scanning läuft am 3. April 2026 aus. Was bedeutet das für Unternehmen, die auf verschlüsselte Kommunikation angewiesen sind?

Das Wichtigste in Kürze

• Rat einigt sich ohne Scan-Pflicht: Am 26. November 2025 verabschiedete der EU-Rat eine Position ohne verpflichtende Detection Orders. Stattdessen: Risikobewertungspflichten und freiwilliges Scanning. Deutschland führte die blockierende Minderheit an (EU-Ratspressemitteilung).
• Trilog läuft: Zweiter Trilog am 26. Februar 2026, dritter am 4. Mai, vierter am 29. Juni geplant. Die ePrivacy-Ausnahme für freiwilliges Scanning läuft am 3. April 2026 aus.
• BVerfG Trojaner II (Juni 2025): Teile der Quellen-TKÜ für verfassungswidrig erklärt. Anlasslose Massenüberwachung verschlüsselter Kommunikation dürfte an diesem Maßstab scheitern.
• Signal-Drohung steht: Signal-Präsidentin Meredith Whittaker kündigte an, den EU-Markt zu verlassen falls Client-Side Scanning Pflicht wird (verifiziert via X-Post, Mai 2024).
• 502 Wissenschaftler mit Credentials in Kryptographie und IT-Security bezeichnen Client-Side Scanning als „technisch nicht machbar“ und warnen vor Schwachstellen für Hacker und feindliche Staaten.

Die Nutzung von SOCKS5-Proxies in Europa ist laut Telecom Reseller um fast 1.770 Prozent gestiegen – ein deutliches Signal, dass technisch versierte Nutzer und Unternehmen sich bereits vorbereiten. Wer Enterprise-Kommunikation heute plant, muss die Möglichkeit einkalkulieren, dass verschlüsselte Messenger unter regulatorischen Druck geraten. Das betrifft nicht nur Chat-Apps: Auch verschlüsselte E-Mail-Dienste, Cloud-Speicher mit Zero-Knowledge-Verschlüsselung und VPN-Anbieter könnten von Detection Orders erfasst werden. Die CSAR-Verordnung definiert „Hosting-Dienste“ und „interpersonelle Kommunikationsdienste“ bewusst breit.

Ein weiterer Aspekt den viele Unternehmen übersehen: Die Haftungsfrage. Wenn ein Plattformanbieter nach Inkrafttreten einer Detection Order Scanning implementiert und dabei durch einen Softwarefehler oder ein kompromittiertes Update vertrauliche Unternehmensdaten an unbefugte Dritte weitergibt – wer haftet? Der Plattformanbieter, der den Scanningmechanismus implementiert hat? Oder der Gesetzgeber, der ihn erzwungen hat? Diese Frage ist juristisch ungeklärt und wird erst nach dem ersten Vorfall beantwortet werden – zu spät für die betroffenen Unternehmen.

Dieser Artikel ordnet ein, was beschlossen wurde, was noch offen ist und was deutsche Unternehmen vorbereiten sollten.

Was der Rat beschlossen hat – und was nicht

Die Debatte wird oft als Kinderschutz-vs-Privatsphäre gerahmt. Für IT-Security-Teams ist sie konkreter: Jede gesetzlich erzwungene Schwachstelle in Verschlüsselung ist eine Schwachstelle für alle – auch für Angreifer.

Nach drei Jahren Verhandlung hat der EU-Rat am 26. November 2025 eine gemeinsame Position zur CSAR-Verordnung (Child Sexual Abuse Regulation) verabschiedet. Der Kern des Kompromisses: Keine verpflichtenden Detection Orders mehr. Plattformanbieter müssen Risikobewertungen durchführen und können freiwillig scannen – aber niemand wird per Gesetz gezwungen, Nachrichten vor der Verschlüsselung zu durchleuchten.

Deutschland hatte zusammen mit einer blockierenden Minderheit einen früheren Entwurf mit verpflichtendem Scanning gestoppt. Justizministerin Stefanie Hubig formulierte die Regierungsposition klar: Anlasslose Chatkontrolle sei ein Tabu im Rechtsstaat. Die Datenschutzkonferenz unter Vorsitz von Berlins Datenschutzbeauftragter Meike Kamp forderte die Bundesregierung explizit auf, die Chatkontrolle abzulehnen.

Aber der Kompromiss enthält eine Review-Klausel: Die EU-Kommission muss innerhalb von drei Jahren prüfen, ob Detection-Pflichten „notwendig und machbar“ sind. Privacy-Experten und die Electronic Frontier Foundation warnen vor Mission Creep – die Hintertür für verpflichtendes Scanning bleibt im Gesetzestext angelegt.

Der Trilog zwischen Rat, Parlament und Kommission läuft seit Dezember 2025. Am 26. Februar fand die zweite Sitzung statt, der dritte Trilog ist für 4. Mai geplant. Eine kritische Deadline: Die ePrivacy-Ausnahme, die freiwilliges Scanning aktuell rechtlich ermöglicht, läuft am 3. April 2026 aus. Ohne Verlängerung oder neues Gesetz entfällt die Rechtsgrundlage.

Warum Backdoors technisch nicht funktionieren

Client-Side Scanning bedeutet: Nachrichten werden auf dem Endgerät durchleuchtet, bevor sie verschlüsselt werden. Das klingt nach einem Kompromiss – die Verschlüsselung bleibt intakt, das Scanning passiert davor. In der Praxis ist es das Gegenteil: Der Scanning-Code auf jedem Endgerät wird zum hochattraktiven Angriffsziel.

502 Wissenschaftler mit Credentials in Kryptographie und Security Engineering haben in einem offenen Brief gewarnt: Die Maßnahmen seien technisch nicht machbar und würden die Sicherheit und Privatsphäre aller europäischen Bürger untergraben. Unter den Unterzeichnern: Cas Cremers (CISPA Helmholtz Center), Bart Preneel (KU Leuven), Carmela Troncoso (EPFL) und René Mayrhofer (JKU Linz).

Das Argument lässt sich auf einen Satz reduzieren: Eine Backdoor die nur „guten“ Akteuren zugänglich ist, existiert nicht. Jeder Mechanismus der Strafverfolgern Zugang gibt, gibt auch Hackern, Spyware-Herstellern und feindlichen Geheimdiensten Zugang. Die Geschichte belegt das: Der Clipper Chip der NSA aus den 1990er Jahren – ein Verschlüsselungschip mit eingebautem staatlichem Zugang – scheiterte 1994, als Matt Blaze von AT&T Bell Labs nachwies, dass der Escrow-Mechanismus manipulierbar war.

Die gleiche Debatte läuft parallel in Kanada. Bill C-8, inhaltlich fast identisch mit dem gescheiterten Bill C-26, ermächtigt die Regierung, Telekom-Anbieter per Anordnung anzuweisen, Verschlüsselungsstandards zu senken. Der Begriff „systemic vulnerability“ ist im Gesetzestext nicht definiert – eine Lücke die entweder Absicht oder Nachlässigkeit ist, in beiden Fällen aber gefährlich. Das Citizen Lab der University of Toronto warnt in einer formellen Stellungnahme vor den Konsequenzen für die IT-Sicherheit. Das Muster ist global: Regierungen versuchen Hintertüren in Verschlüsselung zu erzwingen, Kryptographen warnen, Gerichte bremsen – und der Druck beginnt von vorne.

Für CISOs und IT-Leiter in DACH-Unternehmen ist die Konsequenz pragmatisch: Die Chatkontrolle ist nicht beschlossen, aber auch nicht vom Tisch. Die Review-Klausel im Ratstext hält die Option für verpflichtendes Scanning offen. Wer heute seine Kommunikationsinfrastruktur plant, sollte diese Unsicherheit einkalkulieren – mit einer Architektur die flexibel genug ist, um bei Bedarf auf andere Anbieter oder dezentrale Systeme zu wechseln. Das ist keine Panikmache. Es ist Risikomanagement.

„Anlasslose Massenüberwachung, die Millionen EU-Bürger unter Generalverdacht stellt, ist unverhältnismäßig.“
– Meike Kamp, Datenschutzbeauftragte Berlin / DSK-Vorsitzende (BfDI, Oktober 2025)

BVerfG Trojaner II: Die verfassungsrechtliche Grenze

Am 24. Juni 2025 hat das Bundesverfassungsgericht mit dem „Trojaner II“-Beschluss (1 BvR 180/23) Teile der Quellen-Telekommunikationsüberwachung für verfassungswidrig und nichtig erklärt. Das Gericht zog klare Grenzen für staatliche Eingriffe in verschlüsselte Kommunikation.

Die Kernaussagen: Quellen-TKÜ darf nicht bei Straftaten eingesetzt werden die mit weniger als drei Jahren Höchststrafe bedroht sind. Der Zugriff ist nur auf Kommunikation erlaubt, die auch bei klassischer Telekommunikationsüberwachung hätte erfasst werden können (Synchronizitätsprinzip). Und: Betroffen sind sowohl das Fernmeldegeheimnis (Art. 10 GG) als auch das IT-Grundrecht – das Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme.

Für die Chatkontrolle-Debatte ist das direkt relevant. Wenn das BVerfG schon anlassbezogene Quellen-TKÜ bei leichten Straftaten als unverhältnismäßig einstuft, dürfte anlasslose Massenüberwachung aller verschlüsselten Nachrichten an diesem Maßstab erst recht scheitern. Das IT-Grundrecht aus dem Online-Durchsuchungs-Urteil von 2008 schützt die Integrität von Endgeräten – Client-Side Scanning durchbricht genau diese Integrität.

Für die deutsche Wirtschaft hat der Beschluss direkte Bedeutung. Unternehmen die Ende-zu-Ende-verschlüsselte Kommunikation einsetzen – und das sind laut Bitkom 58 Prozent aller Firmen mit mehr als 20 Mitarbeitenden – operieren auf einer verfassungsrechtlich geschützten Grundlage. Eine EU-Verordnung die Client-Side Scanning erzwingt, würde in Deutschland wahrscheinlich umgehend beklagt. Die Frage ist nicht ob, sondern wann ein solches Gesetz vor dem BVerfG oder dem EuGH landet.

Was das für Unternehmen bedeutet

Die Konsequenzen sind nicht theoretisch. Wenn Detection Orders in einer späteren Version der Verordnung doch verpflichtend werden, treffen sie alle verschlüsselten Plattformen: Microsoft Teams, Slack, Signal, WhatsApp – und jede E-Mail-Lösung mit Ende-zu-Ende-Verschlüsselung.

Für Compliance-Teams ergeben sich drei konkrete Risiken. Erstens: Interne Kommunikation – Vertragsverhandlungen, M&A-Prozesse, Personalakten, Quellcode – würde automatisch gescannt, mit nachgewiesener Fehlerquote bei der Erkennung. False Positives könnten vertrauliche Unternehmensdaten ohne Wissen der Firma an Behörden übermitteln.

Zweitens: Unterschiedliche Anforderungen in EU und USA machen eine einheitliche globale Verschlüsselungsarchitektur unmöglich. Unternehmen müssten separate Kommunikationskanäle für EU- und Nicht-EU-Kontexte betreiben.

Drittens: Der Vertrauensverlust. Signal-Präsidentin Meredith Whittaker hat angekündigt, den EU-Markt zu verlassen falls Client-Side Scanning Pflicht wird. Für Unternehmen die Signal als sicheren Kommunikationskanal nutzen – und das sind viele, gerade im Security-Bereich – wäre das ein direkter Verlust an Infrastruktur.

Was IT-Security-Teams jetzt tun sollten

Erstens: Messenger-Infrastruktur dokumentieren. Welche verschlüsselten Kanäle nutzt das Unternehmen? Signal, WhatsApp, Teams? Wer kommuniziert worüber? Diese Bestandsaufnahme ist die Grundlage für jede Anpassung die nötig wird.

Zweitens: Verschlüsselungspolicy überprüfen. Welche Kommunikation läuft Ende-zu-Ende-verschlüsselt, welche nur transportverschlüsselt? Bei einer Detection-Order-Pflicht wäre E2EE-Kommunikation betroffen – transportverschlüsselte nicht. Das Verständnis der eigenen Architektur ist entscheidend.

Drittens: Regulatorische Entwicklung aktiv verfolgen. Die Trilog-Verhandlungen laufen bis mindestens Juni 2026. Jedes Unternehmen mit Compliance-Abteilung sollte die EDRi-Dokumentensammlung und die Ratspressemitteilungen im Monitoring haben.

Viertens: Alternative Kommunikationskanäle evaluieren. Falls Signal den EU-Markt tatsächlich verlässt, brauchen Teams eine Alternative mit vergleichbarem Sicherheitsniveau. Wire (Schweizer Anbieter), Threema (ebenfalls Schweiz) und Matrix/Element (dezentral, Open Source) sind Kandidaten – alle mit eigenem Compliance-Profil.

Die Chatkontrolle-Debatte zeigt ein grundsätzliches Muster: Regulierung die Verschlüsselung schwächt, schwächt alle – nicht nur die Zielgruppe. Das BVerfG hat mit dem Trojaner-II-Beschluss die verfassungsrechtlichen Grenzen markiert. Die 502 Kryptographen haben die technischen Grenzen markiert. Ob die Politik diese Grenzen respektiert, entscheidet sich in den nächsten Monaten.

Eines steht fest: Verschlüsselung ist kein Luxus und kein Hindernis für Strafverfolgung. Sie ist die Grundlage für vertrauliche Geschäftskommunikation, für Whistleblower-Schutz, für journalistische Quellen und für das Vertrauen in digitale Infrastruktur. Jeder Versuch sie zu schwächen schwächt das gesamte System – das haben 502 Wissenschaftler bestätigt, das hat das BVerfG bestätigt und das zeigt die Geschichte des Clipper Chips. Die Frage ist nicht ob Verschlüsselung geschützt werden muss. Die Frage ist ob Europa das versteht bevor es zu spät ist.

Häufige Fragen

Was ist die EU Chatkontrolle?

Die CSAR-Verordnung (Child Sexual Abuse Regulation) soll Plattformanbieter verpflichten, ihre Dienste auf illegale Inhalte zu durchsuchen. Kritiker warnen vor einer Massenüberwachung verschlüsselter Kommunikation. Der aktuelle Ratstext enthält keine verpflichtenden Detection Orders mehr, aber eine Review-Klausel.

Ist die Chatkontrolle schon beschlossen?

Nein. Der Rat hat im November 2025 eine Position verabschiedet, der Trilog mit Parlament und Kommission läuft seit Dezember 2025. Eine finale Einigung wird frühestens im Sommer 2026 erwartet.

Würde Signal die EU verlassen?

Signal-Präsidentin Meredith Whittaker hat angekündigt, den EU-Markt zu verlassen falls Client-Side Scanning verpflichtend wird. Da der aktuelle Ratstext keine Scanning-Pflicht enthält, ist Signal vorerst geblieben.

Was sagt das BVerfG zur Überwachung verschlüsselter Kommunikation?

Der Trojaner-II-Beschluss vom Juni 2025 erklärt Teile der Quellen-TKÜ für verfassungswidrig. Anlasslose Massenüberwachung dürfte an diesem Maßstab erst recht scheitern, da sowohl das Fernmeldegeheimnis als auch das IT-Grundrecht betroffen sind.

Was bedeutet die Chatkontrolle für Unternehmen?

Bei verpflichtenden Detection Orders müssten alle verschlüsselten Plattformen (Teams, Slack, Signal) Client-Side Scanning implementieren. False Positives könnten vertrauliche Unternehmensdaten ohne Wissen der Firma an Behörden übermitteln.

Was ist Client-Side Scanning?

Nachrichten werden auf dem Endgerät durchleuchtet bevor sie verschlüsselt werden. Der Scanning-Mechanismus selbst wird damit zum Angriffsziel. 502 Kryptographen haben gewarnt, dass dies die Sicherheit aller Nutzer untergräbt.

Gibt es Alternativen zu Signal in der Schweiz?

Wire und Threema sind Schweizer Anbieter mit Ende-zu-Ende-Verschlüsselung. Matrix/Element ist dezentral und Open Source. Alle drei wären von einer EU-Scanning-Pflicht weniger direkt betroffen als US-basierte Anbieter.

Die Proxy-Nutzung in Europa zeigt, dass Unternehmen und Nutzer nicht auf Regulierung warten. Laut Telecom Reseller stieg die Nutzung von SOCKS5-Proxies in Europa um fast 1.770 Prozent – ein Indikator dafür, dass proaktiv Gegenmaßnahmen ergriffen werden. Die Frage ist, ob die EU eine Regulierung durchsetzt die technisch umgangen wird und verfassungsrechtlich angreifbar ist – oder ob sie den Kompromiss des Ratstext respektiert: Risikobewertung statt Massenüberwachung, Prävention statt Backdoors.

Quelle Titelbild: Pexels / Dan Nelson (px:4489171)

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor Benedikt Langer