Kommt Ihnen das bekannt vor? Eine Verordnung gilt offiziell als gestoppt und steht trotzdem kurz vor der Annahme. Genau diese Lage beschreibt die Chat Control, deren entscheidende Verhandlungsrunde am 28. und 29. Juni 2026 hinter verschlossenen Türen läuft. Der frühere EU-Abgeordnete Patrick Breyer warnt vor einem Doppelangriff auf die vertrauliche Kommunikation.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Das Wichtigste in Kürze

  • Am 29. Juni 2026 steht die als final geltende Trilog-Runde zur CSA-Verordnung an, eine formale Annahme gilt für Juli als möglich.
  • Rat und Parlament liegen weit auseinander: gezieltes Scannen mit Richtervorbehalt gegen ein Modell, das anlassloses Scannen über Risikopflichten zurückbringt.
  • Deutschland fährt eine Doppellinie: Das Justizministerium bremst öffentlich, das Innenministerium drückt am Verhandlungstisch.
  • Betroffen sind Messenger, E-Mail-Dienste und betriebliche Kommunikation samt drohender Altersverifikation für alle.

Wie funktioniert der Trilog überhaupt?

Ein schwebender, cremeweißer Briefumschlag mit einem roten Lacksiegel und einer orangefarbenen Registerkarte vor einem weißen, weichen Hintergrund
Trilog-Verhandlung zwischen EU-Kommission, Rat und Parlament zur CSA-Verordnung, die unmittelbar in allen 27 Mitgliedstaaten gilt

Der Trilog bezeichnet die interinstitutionelle Verhandlung zwischen Kommission, Rat und Parlament, in der die drei Positionen zu einem Gesetzestext zusammenfließen. Wichtig für die Tragweite: Die CSA-Verordnung ist eine Verordnung, keine Richtlinie. Die Verordnung gilt unmittelbar in allen 27 Mitgliedstaaten, ohne nationales Umsetzungsgesetz. Jede Plattform in Europa trägt vom ersten Tag dieselben Pflichten.

Die Bruchlinie verläuft mitten durch den Text. Das Parlament verlangt seit März 2026, dass eine Durchsuchung nur bei konkretem Verdacht gegen einzelne Personen und nur mit richterlicher Anordnung erfolgt. Der Rat hat seine Position dagegen Ende November 2025 ohne verpflichtende Aufdeckungsanordnungen verabschiedet und setzt stattdessen auf Risikobewertungs- und Risikominderungspflichten für Anbieter.

Warum bedeutet „freiwillig“ faktisch flächendeckendes Scannen?

Drei Stühle, Tisch mit Holzknoten, Leiter und Schildern „TRILOG“ und „KOMPROMISS“ auf weißem Grund
Der Trilog führt drei EU-Positionen an einem Tisch zusammen, der finale Text entsteht im Verborgenen.

Hier steckt der eigentliche Mechanismus, den die Schlagzeile verdeckt. Eine Pflicht zur Risikominderung zwingt Anbieter wie WhatsApp oder Signal dazu, „alle angemessenen Maßnahmen“ zu treffen. Verweigert ein Dienst das Scannen, lässt sich das als unzureichende Risikominderung auslegen und sanktionieren. Aus einer formal freiwilligen Option wird so eine durchsetzbare Erwartung, ohne dass je das Wort Pflicht im Gesetz steht.

Genau diese Konstruktion kollidiert mit bestehendem Recht. Anlassloses Scannen berührt das Fernmeldegeheimnis aus Artikel 5 der ePrivacy-Richtlinie sowie die DSGVO, und der juristische Dienst des Rates hält clientseitiges Scannen für unverhältnismäßig. Wie heikel die Datenfrage ist, zeigt der Blick auf verschlüsselte Kommunikationsplattformen, deren Sicherheitsversprechen ein Scan vor der Verschlüsselung aushebeln würde.

Welche Rolle spielt die deutsche Position?

Vorhängeschloss mit Aufkleber „freiwillig“ (durchgestrichen) und Schlüssel „Optional“
Freiwilliges Scannen wird über Risikopflichten faktisch zur durchsetzbaren Erwartung.

Bundesjustizministerin Stefanie Hubig hat anlasslose Massenüberwachung mehrfach als rechtsstaatliches Tabu bezeichnet. Am Verhandlungstisch sieht das Bild anders aus. Ein öffentlich gewordenes Ratsprotokoll vom 17. Juni verortet die Bundesregierung auf der Seite eines möglichst breiten Anwendungsbereichs, im Schulterschluss mit Frankreich. Das unionsgeführte Innenministerium führt diese Verhandlungen, nicht das Justizressort. Zwei Häuser, zwei Linien, eine Regierung.

Gegen das Modell spricht auch die Praxis. Beim Bundeskriminalamt waren 2024 fast die Hälfte der gemeldeten Chats vollständig legal, etwa Familienfotos vom Strand. Eine Pflicht zum Scannen produziert damit massenhaft Fehlalarme und bindet Ermittlerkapazität. Wie eine verpflichtende Variante aussieht, zeigt Südkorea mit seiner Bildscan-Pflicht.

Eine Verordnung, die Vertraulichkeit nur dem Namen nach erhält, ist gefährlicher als ein offener Zwang, weil sie den Widerstand erschwert. Unternehmen sollten den finalen Text lesen, nicht die Pressemitteilung.

— Markus Seyfferth, Chefredakteur Dr. Web

Was sollten Unternehmen jetzt prüfen?

Hölzerner Wegweiser „JUSTIZ“ links, „INNERES“ rechts. Davor Helm „BESTÄNDIGKEITSKLÄRUNG“
Zwei Ministerien, zwei Linien: Deutschland bremst öffentlich und drückt am Verhandlungstisch zugleich.

Zunächst lohnt eine Bestandsaufnahme der eigenen Kanäle. Klären Sie, welche Wege Ende-zu-Ende-verschlüsselt laufen und welche Alternativen mit vergleichbarem Sicherheitsniveau bereitstehen, etwa Threema oder Matrix. Nehmen Sie außerdem die Trilog-Dokumente und Ratspressemitteilungen ins Compliance-Monitoring auf, denn der endgültige Gesetzestext entscheidet über künftige Pflichten. Ordnen Sie das Thema schließlich in den größeren Rahmen ein, den auch die Cybersecurity-Grundlagen für KMU und der Compliance-Teil im Cybersecurity-Glossar beschreiben. Behalten Sie den 29. Juni im Blick und legen Sie heute fest, wer in Ihrem Haus die Bundesregierung und den finalen Text verfolgt.

Mehr Newshunger?

4,4 249 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?

Artikel teilen
X LinkedIn Facebook XING WhatsApp E-Mail