Die Chatkontrolle steht erneut auf der Tagesordnung der EU, und am 29. Juni 2026 läuft der entscheidende fünfte Trilog zur CSA-Verordnung. Kennen Sie das Muster aus den vergangenen Jahren? Ein Vorhaben gilt als gescheitert, taucht aber in entschärfter Form wieder auf. Genau diese Wiederkehr erleben wir gerade, und der diesmal eingebaute Mechanismus verdient einen genaueren Blick.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Das Wichtigste in Kürze

  • Der fünfte Trilog zur CSA-Verordnung findet am 29. Juni 2026 unter zypriotischer Ratspräsidentschaft statt, eine finale Einigung gilt als unwahrscheinlich.
  • Den formalen Scan-Zwang haben die Verhandler gestrichen, doch eine Pflicht zu „allen angemessenen Risikominderungsmaßnahmen“ könnte Scanning indirekt erzwingen.
  • Die freiwillige Vorgängerregelung (Chatkontrolle 1.0) ist am 3. April 2026 ausgelaufen und lässt sich nicht verlängern.
  • Für DACH-Entscheider stehen Unternehmenskommunikation, Cloud-Speicher und verschlüsselte Messenger im Fokus, dazu eine drohende verpflichtende Altersverifikation.

Wie erzwingt ein gestrichener Scan-Zwang trotzdem das Scannen?

Geschlossener Brief mit rotem Siegellack und „geprüft“-Aufkleber
Der Rat verzichtet auf verpflichtende Aufdeckungsanordnungen und setzt stattdessen auf Risikobewertungs- und Risikominderungspflichten für Anbieter

Der entscheidende Punkt liegt nicht in der Schlagzeile, sondern im Kleingedruckten. Der Rat hat seine Position Ende November 2025 ohne verpflichtende Aufdeckungsanordnungen verabschiedet und setzt stattdessen auf Risikobewertungs- und Risikominderungspflichten für Anbieter. Genau hier steckt der Hebel. Der frühere Europaabgeordnete und Jurist Patrick Breyer verweist auf ein Schlupfloch in Artikel 4 des Entwurfs, das Anbieter wie WhatsApp oder Signal zu „allen angemessenen Risikominderungsmaßnahmen“ verpflichtet.

Die Konsequenz dieser Konstruktion: Plattformen müssten bewerten, wie Kriminelle ihre Dienste missbrauchen könnten, und Gegenmaßnahmen ergreifen, um Haftung zu vermeiden. Wer keine Schreibrechte-Sperre, keine Inhalte-Moderation und kein Scanning einbaut, riskiert den Vorwurf, nicht alle „angemessenen“ Mittel ausgeschöpft zu haben. Aus einer formal freiwilligen Regel wird so ein faktischer Zwang. Sogar clientseitiges Scannen direkt auf dem Endgerät könnte am Ende dieser Logik stehen, also das Ende sicherer Ende-zu-Ende-Verschlüsselung. Im Cybersecurity-Glossar finden Sie den Unterschied zwischen Verschlüsselung im Transit und in Ruhe sauber unterschieden, beides verlangt die DSGVO nach Artikel 32 als angemessene Maßnahme.

Warum hat Deutschland seinen Widerstand offenbar aufgeweicht?

Tresortür aus Metall mit Holzinnentür, Messingschild
Der gestrichene Scan-Zwang kehrt durch die Hintertür der Risikominderung zurück.

Lange galt Deutschland als Bremser. Justizministerin Stefanie Hubig formulierte die Linie klar, anlasslose Chatkontrolle müsse in einem Rechtsstaat tabu sein, und im Oktober 2025 hat die Bundesregierung eine Sperrminorität im Rat angeführt. Diese Front bröckelt. Seit dem Regierungswechsel im Mai 2025 positioniert sich Deutschland nicht mehr eindeutig gegen die Chatkontrolle, und die Ablehnung beschränkt sich häufig auf die „anlasslose“ Variante, nicht auf jede Form des Scannens.

Der zeitliche Druck verschärft die Lage. Die freiwillige Übergangsregelung, die das Scannen rechtlich ermöglicht hat, ist am 3. April 2026 ausgelaufen und lässt sich nicht verlängern, weil das Europäische Parlament keine gemeinsame Position gefunden hat. Beim vierten Trilog am 11. Mai 2026 blieb eine Einigung aus, besonders bei der Aufdeckungsanordnung liegen Rat und Parlament weit auseinander. Parallel droht eine verpflichtende Altersverifikation, die anonyme Kommunikation faktisch beenden würde, wie unsere Einordnung zur Altersverifikation im Netz zeigt.

Was bedeutet das für DACH-Unternehmen konkret?

Schild mit Bundesadler und Post-it „Position unklar“ hängt vor weißem Hintergrund
Deutschlands früher klare Ablehnung gerät ins Wanken.

Die Kollision mit bestehendem Recht ist offenkundig. Anlassloses Scannen berührt das Fernmeldegeheimnis aus Artikel 5 der ePrivacy-Richtlinie sowie die DSGVO, und der juristische Dienst der EU hält clientseitiges Scannen für unverhältnismäßig und grundrechtswidrig. Die deutschen Datenschutzbehörden fordern einhellig den vollständigen Verzicht. Das Bundesverfassungsgericht hat mit dem Trojaner-II-Beschluss vom Juni 2025 bereits Teile der Quellen-TKÜ für verfassungswidrig erklärt, anlasslose Massenüberwachung dürfte an diesem Maßstab erst recht scheitern.

Drei Schritte sind jetzt sinnvoll. Prüfen Sie zunächst, welche Kommunikationskanäle Ende-zu-Ende-verschlüsselt laufen und welche Alternativen mit vergleichbarem Sicherheitsniveau bereitstehen, etwa Threema oder Matrix. Nehmen Sie außerdem die Trilog-Dokumente und die Ratspressemitteilungen ins Compliance-Monitoring auf, denn der Gesetzestext entscheidet über Ihre künftigen Pflichten. Ordnen Sie das Thema schließlich in den größeren regulatorischen Rahmen ein, den auch die Cybersecurity-Grundlagen für KMU beschreiben. Ein Beispiel zur Größenordnung: Bei DSGVO-Verstößen drohen Bußgelder bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes, je nachdem, was höher ausfällt.

Behalten Sie den 29. Juni im Blick und legen Sie heute fest, wer in Ihrem Haus die Position der Bundesregierung und den finalen Trilog-Text verfolgt.

Mehr Newshunger?

4,5 13 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?

Artikel teilen
X LinkedIn Facebook XING WhatsApp E-Mail