Am Nachmittag des 7. Juli 2026 verabschiedete das Europäische Parlament in Straßburg mit 331 zu 304 Stimmen bei 11 Enthaltungen einen Dringlichkeitsantrag. Der Inhalt lässt sich in einem Satz zusammenfassen: Technologieunternehmen dürfen deine privaten Chatnachrichten scannen. WhatsApp, Signal, iMessage – jeder Anbieter kann künftig prüfen, was du schreibst, sofern er dazu bereit ist.
Vor drei Monaten hatte dasselbe Parlament genau diesen Vorschlag noch abgelehnt.
Am 26. März 2026 stimmten 311 Abgeordnete dagegen (228 dafür, 92 Enthaltungen). Der entscheidende Änderungsantrag Nr. 34 – Ablehnung der «automatisierten Auswertung unbekannter Fotos und Texte» – wurde mit 307 zu 306 Stimmen angenommen, mit nur einer einzigen Stimme Vorsprung. Das Gesetz lief aus und verfiel.
Wie kann etwas, das die Wählervertretung bereits abgelehnt hat, plötzlich wieder auf der Tagesordnung stehen? Genau darum geht es heute.
Abb.: Das Europäische Parlament in Straßburg. Hier fanden die entscheidenden Abstimmungen über Chat Control statt. Quelle: Shutterstock / Tero Vesalainen, via heise online
Zwei Gesetze, ein Name
Um das Ganze zu verstehen, muss man zuerst eine häufige Verwechslung ausräumen. Hinter dem Schlagwort «Chat Control» stehen zwei eigenständige Rechtsakte – die in der EU-Gesetzgebungsmaschinerie parallel vorangetrieben wurden und sich gegenseitig beeinflussen.
Chat Control 1.0, offiziell «EU-Verordnung 2021/1232», wurde im Juli 2021 verabschiedet. Im Kern handelt es sich um eine «vorübergehende Erlaubnis»: Technologieunternehmen dürfen – auf freiwilliger Basis – private Nachrichten, E-Mails und Chatverläufe ihrer Nutzer scannen, um Darstellungen sexuellen Kindesmissbrauchs aufzuspüren. Das Gesetz war befristet, sollte ursprünglich im August 2024 auslaufen und wurde bis zum 3. April 2026 verlängert. Danach verweigerte das Parlament eine weitere Verlängerung – das Gesetz trat außer Kraft.
Chat Control 2.0, offiziell «CSA-Verordnung», wurde im Mai 2022 von der EU-Kommission offiziell vorgeschlagen. War 1.0 eine vorübergehende Erlaubnis, soll 2.0 das Scannen privater Chats als dauerhafte Pflicht im Gesetz verankern. Der ursprüngliche Entwurf war radikal: verpflichtendes Scannen sämtlicher Inhalte – einschließlich Ende-zu-Ende-verschlüsselter Kommunikation – ohne dass ein konkreter Verdacht gegen bestimmte Nutzer vorliegen muss. Eine unterschiedslose, flächendeckende Überwachung also. In den vergangenen fünf Jahren scheiterten fünf Trilog-Verhandlungen zwischen Parlament, Rat und Kommission. Die jüngste Runde am 29. Juni 2026 brach an der Kernfrage auseinander, ob auch unverdächtige Bürger einer anlasslosen Massenüberwachung unterzogen werden dürfen. Die Verhandlungen wurden auf die Zeit nach der irischen Ratspräsidentschaft vertagt.
Zwei Stränge laufen parallel – doch in den letzten Monaten lag der Fokus auf dem ersten.
Wie ein erloschenes Gesetz «wiederbelebt» wird: Verfahrenstricks im Schnelldurchlauf
Wer glaubt, was das Parlament einmal abgelehnt hat, könne nicht einfach wiederkommen – den dürfte der folgende Ablauf überraschen.
Laut der Dokumentation von fightchatcontrol.eu lässt sich der Vorgang in sieben Schritte zerlegen:
- 26. Juni: Die EU-Botschafter der Mitgliedstaaten einigen sich darauf, einen «formal neuen, inhaltlich identischen» Verordnungsentwurf voranzutreiben. Entscheidend: Da die ursprüngliche Verordnung bereits außer Kraft ist, kann sie technisch nicht «verlängert» werden – sie muss als neues Gesetz neu verpackt werden.
- 2. Juli: Der EU-Rat nimmt im schriftlichen Verfahren offiziell den Standpunkt zu diesem «neuen» Gesetz an.
- 7. Juli: Parlamentspräsidentin Roberta Metsola setzt den Dringlichkeitsantrag kurzfristig auf die Tagesordnung. Zu diesem Zeitpunkt bleiben weniger als 48 Stunden bis zur Sommerpause des Parlaments.
Ein entscheidendes Verfahrensdetail: Da das Gesetz in die «zweite Lesung» geht, braucht es für eine Änderung oder Ablehnung die absolute Mehrheit aller 720 Abgeordneten – mindestens 361 Stimmen. Für die Annahme hingegen genügt die einfache Mehrheit der an diesem Tag anwesenden Abgeordneten. Und dieser Donnerstag ist der letzte Arbeitstag vor der Sommerpause – zahlreiche Abgeordnete sind bereits abgereist.
Anders gesagt: Um das Gesetz zu stoppen, braucht es 361 Gegenstimmen (auch Abwesende zählen als fehlende Stimme). Um es durchzubringen, reicht es, wenn mehr Anwesende dafür als dagegen stimmen.
Abb.: Der Weg der Chat-Control-Verordnung durch die EU-Institutionen. Quelle: closednetwork.io
Ein HN-Nutzer zitierte die berühmt-offenherzige Aussage des ehemaligen Kommissionspräsidenten Jean-Claude Juncker: «Wir beschließen etwas, stellen das dann in den Raum und warten, was passiert. Wenn es keinen großen Aufschrei gibt – weil die meisten ohnehin nicht verstehen, was wir beschlossen haben – machen wir Schritt für Schritt weiter, bis es kein Zurück mehr gibt.» Ein anderer Nutzer schrieb: «Demokratie bedeutet, unpopuläre Gesetze so lange voranzutreiben, bis sie durchkommen – je mehr Anläufe, desto demokratischer.»
Treiber der Wiederbelebung ist diesmal die konservative Europäische Volkspartei (EVP). Der entscheidende Umschwung kam durch die Sozialdemokraten: Die S&D-Fraktion änderte kurz vor der Abstimmung ihre Position und kündigte an, das Dringlichkeitsverfahren zu unterstützen – und lieferte damit die nötigen Stimmen. Birgit Sippel (SPD), Chat-Control-Berichterstatterin des Parlaments, nannte das Vorgehen ein «unfaires Manöver der Mitgliedstaaten», enthielt sich aber der Gegenstimme – ihre Fraktion folgte ihr nicht.
Kann verschlüsselte Kommunikation überhaupt «gescannt» werden?
An dieser Stelle drängt sich eine technische Frage auf: Wenn meine Nachrichten verschlüsselt sind und nicht einmal WhatsApp selbst sie lesen kann – wie soll das Scannen dann funktionieren?
Genau hier liegt der Kern des gesamten Konflikts.
Zunächst ein Bild zur Veranschaulichung. Ende-zu-Ende-Verschlüsselung (E2EE) kann man sich so vorstellen: Du und ein Freund vereinbaren eine besondere Art, Briefe zu verschicken. Du legst deinen Brief in eine Kiste mit einem Zahlenschloss, dessen Kombination nur ihr beide kennt. Die Post, das Paketunternehmen, selbst der Hersteller der Kiste – niemand sonst hat den Code. Mathematisch bedeutet das: Außer den beiden Kommunikationspartnern kann kein Dritter den Inhalt der Nachricht lesen.
In der Praxis: Wenn du eine Nachricht über Signal oder WhatsApp verschickst, wird sie auf deinem Handy verschlüsselt und kann nur vom Gerät des Empfängers entschlüsselt werden. Alle Server dazwischen sehen nur kryptografischen Datenmüll.
Wie also soll das «Scannen» möglich sein? Diskutiert werden derzeit zwei technische Ansätze:
Erste Variante: Client-Side-Scanning. Die Nachricht wird auf deinem Handy – noch vor der Verschlüsselung – von einer lokalen KI-Anwendung überprüft. Hält die KI ein Bild für «verdächtig», markiert sie es, verschlüsselt es und meldet es an die Plattform. Aus Kommunikationssicht wird die Nachricht zwar erst nach der Prüfung verschlüsselt übertragen – doch dein Handy hat vor dem Verschließen der Kiste bereits im Auftrag der Aufsichtsbehörden «den Inhalt durchwühlt». Im Bild gesprochen: Noch bevor die Kiste verschlossen wird, hat jemand einen Scanner hineingelegt. Die Verschlüsselung selbst wird umgangen, indem die Prüfung an der Quelle – auf deinem Gerät – stattfindet.
Zweite Variante: Verschlüsselungsaushebelung. Der Gesetzgeber verpflichtet die Kommunikationsdienste, eine «Hintertür» in ihr Verschlüsselungssystem einzubauen – einen Zugang, den nur Strafverfolgungsbehörden unter bestimmten Voraussetzungen nutzen dürfen. Dies ist das Albtraumszenario der Technik-Community, denn es bedeutet, dass die mathematischen Grundlagen der Verschlüsselung gezielt geschwächt werden. Im Bild: Die Regierung verlangt vom Schlosshersteller, bei jedem Schloss einen «Generalschlüssel» zu hinterlegen.
Chat Control 1.0 behauptet im Gesetzestext, «verschlüsselte Kommunikation nicht anzutasten», erlaubt den Anbietern in der Praxis aber den Einsatz von Client-Side-Scanning. Chat Control 2.0 hingegen – und hier liegt der eigentliche Kampf – fordert von Anfang an die Einbeziehung Ende-zu-Ende-verschlüsselter Kommunikation. An genau diesem Punkt scheiterten alle fünf Trilog-Verhandlungen.
Ein Vorstandsmitglied der Gesellschaft für Informatik hat deswegen einen Eilantrag beim Bundesverfassungsgericht eingereicht. Kernargument: Die Fehlerquote aktueller KI-Bilderkennung sei «inakzeptabel hoch» – bei Milliarden von Nachrichten täglich bedeute selbst eine Fehlerrate von 0,01 Prozent, dass jeden Tag Millionen normaler Gespräche als verdächtig markiert und in manuelle Prüfverfahren überführt würden.
Befürworter und Gegner: Beide Seiten haben Argumente
An dieser Stelle muss der Fairness halber gesagt sein: Auch die Befürworter von Chat Control reden nicht nur heiße Luft.
Vor der Abstimmung schickten vier EU-Kommissare einen gemeinsamen Brief ans Parlament, in dringlichem Ton: «Ohne Scan-Mechanismen bleiben Täter unentdeckt, und nahezu sämtliche Darstellungen sexuellen Kindesmissbrauchs werden unauffindbar.» Gegner verweisen darauf, dass Meta und Google auch nach dem Auslaufen der Verordnung weiterhin Meldungen einreichen. Doch der zentrale Druckpunkt der Befürworter lautet: In den zwei Monaten der Sommerpause – dem «Vakuum» – ist jeder nicht entdeckte Fall ein weiteres Kind, das gerade missbraucht wird.
Die Logik der EVP in der Plenardebatte: Zwei Monate Sommerpause können wir nicht warten. Erst das provisorische Gerüst wieder aufbauen, dann nach der Pause in Ruhe über 2.0 verhandeln.
Auch die Gegenseite hat gewichtige Argumente. Die Piraten-Abgeordnete Markéta Gregorová warf der EVP vor, «eine Farce aufzuführen». Die AfD-Abgeordnete Mary Khan sagte: «Niemand will den Kinderschutz schwächen – aber das darf kein Vorwand sein, alle Bürger unter Generalverdacht zu stellen und eine Massenüberwachung zu legitimieren.»
Zwischen diesen Polen lieferte HN-Nutzer mikaeluman eine differenziertere Perspektive: «Die allermeisten Menschen wollen mehr Maßnahmen gegen sexuellen Kindesmissbrauch sehen. Aber dieses Gesetz folgt der Logik: ‚Gib mir diktatorische Vollmachten, damit ich Gutes tun kann.‘ Es hätte als eng gefasstes, zielgerichtetes Instrument gegen konkrete Verdächtige formuliert werden können – stattdessen wurde es zu einem Werkzeug, das flächendeckend in die Kommunikation jedes Bürgers eingreift.»
Technisch wird zudem immer wieder ein Risiko thematisiert: Wenn alle großen Plattformen gezwungen sind, Scan-Funktionen auf den Geräten zu implementieren, entsteht zugleich ein völlig neuer Angriffsvektor. Malware-Entwickler, staatliche Hacker, sogar Insider bei den Plattformen selbst könnten diese Schnittstelle ausnutzen. Um es mit HN-Nutzer summerlight zu sagen: «Du baust einen Generalschlüssel und erzählst der ganzen Welt, dass nur die Guten ihn benutzen werden.»
Hinzu kommt: Der juristische Dienst des Rates selbst legte am 10. Juni ein Gutachten vor, wonach selbst eine «freiwillige» Scan-Lösung faktisch eine «flächendeckende Überwachung» der Kommunikation darstellt – ohne konkreten Verdacht und ohne vorherige richterliche Anordnung. Das stehe im Widerspruch zu Artikel 7 der EU-Grundrechtecharta. Anders gesagt: Selbst die Anwälte des Rates halten das Konzept für problematisch.
Was hat das mit dir zu tun?
Wer nicht in Europa lebt, könnte meinen, das alles gehe ihn nichts an. Zwei Fakten sollte man dennoch im Blick behalten:
Erstens: Internetdienste kennen keine Grenzen. WhatsApp und Signal werden nicht eine «scanbare» Version für europäische Nutzer und eine «echte Ende-zu-Ende-Verschlüsselung» für den Rest der Welt getrennt pflegen. Sobald Client-Side-Scanning aus Compliance-Gründen in die App eingebaut wird, dürfte es als globales Feature an alle Nutzer ausgerollt werden. Die Kosten tragen dann alle Nutzer weltweit.
Zweitens: Der Vorbildeffekt. Wie HN-Nutzer harrisoned anmerkte: «Manche Länder lieben es, solche Regulierungen zu kopieren. Sobald die Anbieter anfangen, EU-Vorgaben zu erfüllen, klopfen andere Regierungen an die Tür: ‚Was ihr für die EU könnt, könnt ihr für uns doch auch, oder? Technisch unmöglich ist es ja nicht.‘»
Abb.: Die wichtigsten legislativen Meilensteine der Chat-Control-Verordnung 2024–2026. Quelle: byteiota.com
Ein weiterer, leicht zu übersehender Punkt: Die Wiederbelebung von Chat Control 1.0 könnte die Verhandlungen über das gezieltere Chat Control 2.0 sogar verzögern. Datenschutz-Aktivisten befürchten, dass die EU-Regierungen – sobald das provisorische Gerüst wieder steht – den Druck verlieren, ein wirklich «präzisionsorientiertes» Gesetz auszuarbeiten. Schließlich reicht ja die Übergangslösung. Das Ergebnis könnte sein: Eine Verordnung, die 2024 hätte ersetzt werden sollen, wird zum Semi-Dauerzustand.
9. Juli: Die letzte Verteidigungslinie
Am Donnerstag, dem 9. Juli, stimmt das Parlament endgültig über die Substanz von Chat Control 1.0 ab.
Um es zu stoppen, braucht es 361 Stimmen – die absolute Mehrheit aller Abgeordneten. Angesichts der bereits abgereisten Parlamentarier ist diese Hürde schwer zu nehmen. Doch wenn die 361 Gegenstimmen nicht zusammenkommen, tritt ein Gesetz automatisch in Kraft, das dasselbe Parlament vor drei Monaten noch mit eigener Hand abgelehnt hat.
Es ist ein asymmetrischer Kampf, eingeschrieben in die Verfahrensregeln selbst. Und die Folgen dieses Kampfes werden noch jahrelang auf jede Chat-App durchschlagen, die du benutzt.
Referenzen:
- https://www.heise.de/en/news/Showdown-in-Strasbourg-The-unexpected-return-of-Chat-Control-1-0-11356680.html
- https://fightchatcontrol.eu/chat-control-overview
- https://news.ycombinator.com/item?id=48819008 (513 Punkte/224 Kommentare)
- https://news.ycombinator.com/item?id=48818311 (376 Punkte/118 Kommentare)