Drei Monate, in denen das Scannen illegal war
Kaum jemand hat es bemerkt: Zwischen dem 4. April und dem 9. Juli 2026 durften die großen Messenger Ihre Unterhaltungen in Europa nicht mehr durchsuchen. Die Verordnung, die das seit 2021 erlaubte, bekannt als Chat Control 1.0, lief im Frühjahr aus. Am 26. März weigerte sich das Europäische Parlament, sie zu verlängern. Die Folge: drei Monate lang keinerlei Rechtsgrundlage. Ein Vakuum, mit dem niemand wirklich gerechnet hatte.
Dann kam das Dossier zurück auf den Tisch, und diesmal galten andere Spielregeln. In zweiter Lesung reicht es nicht, dass eine Mehrheit der anwesenden Abgeordneten die Position des Rates ablehnt. Nötig ist die absolute Mehrheit aller 720 Abgeordneten, also 361 Stimmen. Am 9. Juli stimmten 314 Abgeordnete für die Ablehnung, 276 dagegen, 17 enthielten sich. Es fehlten 47 Stimmen. Der Text gilt damit als angenommen, und das freiwillige Scannen ist wieder legal, bis zum 3. April 2028.
Ein Element derselben Abstimmung verdient Aufmerksamkeit. Die Abgeordneten nahmen einen Änderungsantrag an, der Ende-zu-Ende-verschlüsselte Messenger ausdrücklich vom Anwendungsbereich der Verordnung ausnimmt. Der Rat muss ihm allerdings noch zustimmen, und zum Zeitpunkt dieser Veröffentlichung ist er nicht in Kraft.
Was das Gesetz genau erlaubt
Der offizielle Text heißt Verordnung (EU) 2021/1232. Sie wurde im Juli 2021 verabschiedet und schafft eine befristete Ausnahme von der ePrivacy-Richtlinie, die die Vertraulichkeit Ihrer elektronischen Kommunikation schützt. Praktisch erlaubt sie E-Mail- und Messenger-Anbietern, die über ihre Server laufenden Inhalte zu analysieren, um Darstellungen sexuellen Kindesmissbrauchs zu erkennen und zu melden und Erwachsene aufzuspüren, die Kontakt zu Kindern suchen.
Zunächst ein paar Missverständnisse. Kein Messenger ist verpflichtet, irgendetwas zu scannen: Die Verordnung hebt ein Verbot für jene auf, die es tun wollen, und die meisten großen amerikanischen Plattformen taten es schon lange vor 2021. Die Ausnahme erlaubt auch nicht, nach anderen Dingen zu suchen. Ihre politischen Ansichten oder hitzigen Diskussionen sind nicht das Ziel; die eingesetzten Werkzeuge vergleichen im Wesentlichen Ihre Bilder mit Datenbanken digitaler Fingerabdrücke bereits identifizierter Inhalte.
Bleibt das Wort „befristet“, das seine Anführungszeichen verdient. Vorgesehen waren drei Jahre. Die Verordnung wurde 2024 verlängert, lief im April 2026 aus und wurde gerade um zwei weitere Jahre erneuert. Bei so vielen Ausnahmeverlängerungen beginnt die Ausnahme, wie eine Gewohnheit auszusehen.
Wer scannt was, ganz konkret
Wenn Sie Gmail, Outlook, Facebook Messenger, Instagram oder Snapchat nutzen, können Fotos und Nachrichten, die unverschlüsselt über die Server laufen, mit diesen Datenbanken abgeglichen werden. Das Ausmaß zeigen die Zahlen des NCMEC, der US-Stelle, die die Meldungen bündelt: 20,5 Millionen im Jahr 2024, fast alle von den automatischen Scans der Plattformen erzeugt.
Ende-zu-Ende-verschlüsselte Messenger spielen in einer anderen Liga. WhatsApp, Signal, iMessage und seit Ende 2023 auch Messenger: Bei diesen Diensten ist der Inhalt Ihrer Unterhaltungen für die transportierenden Server unlesbar. Nur Ihr Gerät und das Ihres Gegenübers besitzen die Schlüssel. Das ist Mathematik, keine Regulierung, und keine Verordnung ändert daran etwas.
Genau deshalb hat sich die eigentliche Debatte der letzten Jahre auf eine deutlich invasivere Idee verlagert: Nachrichten direkt auf Ihrem Telefon zu scannen, vor der Verschlüsselung. Dazu gleich mehr.
Maschinen, die sich irren
In dieser Größenordnung produziert automatisches Scannen zwangsläufig Fehler, und sie sind nicht selten. Amazon räumt ein, eine bewusst breit angelegte Erkennungsschwelle zu verwenden, die nach eigenen Worten einen hohen Anteil an Fehlalarmen erzeugt. Forscher aus Stanford stellten fest, dass fast 80 % der als „generative KI“ etikettierten Meldungen an das NCMEC im ersten Halbjahr 2025 überhaupt kein KI-generiertes Missbrauchsmaterial enthielten.
Hinter den Statistiken stehen Menschen. Der bekannteste Fall ist ein amerikanischer Vater, der während der Pandemie eine Infektion seines Sohnes für den Arzt fotografierte. Die automatisch in die Cloud gesicherten Fotos lösten Googles Algorithmen aus. Sein Konto wurde über Nacht geschlossen, zehn Jahre E-Mails und Fotos waren verloren, eine polizeiliche Ermittlung wurde eingeleitet. Die Ermittlung ergab das Offensichtliche: nichts. Google hat das Konto nie wiederhergestellt.
Das ist der blinde Fleck des Systems. Eine automatische Meldung ist kein Beweis, aber ihre Folgen treffen sofort ein, manchmal endgültig, bevor je ein Mensch ernsthaft geprüft hat.
Die eigentliche Debatte ist nicht vorbei
Die endgültige Verordnung, vorgeschlagen im Mai 2022 und Chat Control 2.0 genannt, ging ursprünglich viel weiter. Sie sah verpflichtende Aufdeckungsanordnungen vor: die Möglichkeit, einen Messenger, auch einen verschlüsselten, zum Durchsuchen der Kommunikation seiner Nutzer zu zwingen. Dieser Text brachte drei Jahre lang Kryptografen, Datenschutzbehörden und weite Teile der Zivilgesellschaft auf die Barrikaden und blockierte das Dossier im Rat.
Im November 2025 strich der Rat das verpflichtende Scannen schließlich aus seiner Verhandlungsposition. Was auf dem Tisch bleibt, ist trotzdem nicht harmlos: ein dauerhafter Rahmen für freiwilliges Scannen, Altersprüfungspflichten auch für verschlüsselte Dienste, „Risikominderungspflichten“, die vage genug sind, um den Druck auf die Verschlüsselung aufrechtzuerhalten, und ein eigenes EU-Zentrum. Die Verhandlungen zwischen Parlament und Rat gehen im September 2026 unter irischer Ratspräsidentschaft weiter.
Kurz gesagt: 1.0 ist verlängert, 2.0 wird weiter verhandelt, und die zentrale Frage hat sich keinen Millimeter bewegt. Darf man einen verschlüsselten Messenger zwingen, in die Nachrichten seiner Nutzer zu schauen, ja oder nein?
Was sich für Sie ändert
- →Auf Diensten ohne Ende-zu-Ende-Verschlüsselung (klassische E-Mail, Direktnachrichten sozialer Netzwerke) dürfen Ihre Inhalte legal von Erkennungsalgorithmen analysiert werden. Das galt vor April 2026, das gilt jetzt wieder.
- →Auf Ende-zu-Ende-verschlüsselten Messengern können die Server Ihre Unterhaltungen nicht lesen. Prüfen Sie nur, ob die Verschlüsselung wirklich aktiv ist: Bei WhatsApp, Signal und iMessage ist sie es standardmäßig, anderswo nicht überall.
- →Ein Konto kann allein aufgrund einer automatischen Meldung gesperrt werden, ohne dass ein Mensch beteiligt war. Bewahren Sie eine unabhängige Sicherung dessen auf, was wirklich zählt, Fotos und Dokumente, statt alles einem einzigen Ökosystem anzuvertrauen.
- →Und die Debatte geht weiter: Das Scannen auf dem Gerät kommt zurück auf den Tisch, sobald die Verhandlungen über die endgültige Verordnung wieder aufgenommen werden.
Was Trasimène tut und was nicht
Sagen wir es offen: Kein Virenschutz und kein VPN hindert einen Messenger daran, zu analysieren, was über seine Server läuft. Das Scannen findet bei der Plattform statt, auf Inhalten, die Sie ihr anvertraut haben. Ein VPN verschlüsselt den Weg zwischen Ihrem Gerät und dem Server, nicht das, was die Plattform anschließend mit Ihren Daten macht. Wenn Ihnen jemand einen „Schutz vor Chat Control“ verkauft, seien Sie misstrauisch gegenüber dem Verkäufer.
Trasimènes Terrain ist die andere Seite Ihrer Privatsphäre: Spionagesoftware auf Ihrem Telefon, Apps, die Ihre Daten absaugen, Phishing auf Ihre Konten und die Vertraulichkeit Ihres Datenverkehrs in Netzen, die Sie nicht kontrollieren. Gegen das Scannen auf Serverseite passt Ihr bester Hebel in einen Satz: Ende-zu-Ende-verschlüsselte Messenger wählen und wissen, was jeder Dienst mit Ihren Inhalten tun kann und was nicht.
Behalten Sie die Landkarte des Themas im Kopf statt des Lärms darum herum. In Kraft ist heute ein freiwilliges Scannen, beschränkt auf Missbrauchsdarstellungen, auf unverschlüsselten Diensten, verlängert bis April 2028. Noch offen ist das Schicksal der verschlüsselten Messenger, in Brüssel ab September. Bis dahin ändern sich die guten Gewohnheiten nicht: Ende-zu-Ende-verschlüsselte Messenger für Privates, unabhängige Sicherungen für Wertvolles und etwas Aufmerksamkeit dafür, was jede Plattform mit Ihren Inhalten macht.
- Regulation (EU) 2021/1232, official text of the ePrivacy derogation (EUR-Lex, 2021)
- Regulation (EU) 2024/1307, first extension of the derogation until 3 April 2026 (EUR-Lex, 2024)
- The Register, "EU 'Chat Control' snoopfest returns after vote to kill it falls short" (9 July 2026)
- Patrick Breyer (former MEP), "EU Parliament greenlights Chat Control 1.0" (9 July 2026)
- CDT Europe, response to the European Parliament rejection of the Chat Control 1.0 extension (March 2026)
- eucrim, "CSA Regulation: Council Position Reached" (November 2025)
- EU Perspectives, "Strict combating child sexual abuse, no mandatory scanning. Council has a common position on 'chat control'" (November 2025)
- NCMEC, CyberTipline Data 2024 (20.5 million reports)
- Stanford Center for Internet and Society, "Letter to NCMEC about AI-CSAM Report Statistics" (2025)
- The New York Times, "A Dad Took Photos of His Naked Toddler for the Doctor. Google Flagged Him as a Criminal." (August 2022)
- Meta Newsroom, "Launching Default End-to-End Encryption on Messenger" (December 2023)
Sehen Sie, was Trasimène schützt