Chatkontrolle 1.0: Wie eine zweimal abgelehnte Verordnung doch Gesetz wird

Chatkontrolle 1.0: Wie eine zweimal abgelehnte Verordnung doch Gesetz wird

Von Christoph Gruber, 10. Juli 2026

Am letzten Plenartag vor der Sommerpause hat das EU-Parlament die „freiwillige Chatkontrolle“ wieder in Kraft gesetzt – obwohl mehr Abgeordnete dagegen als dafür gestimmt haben. Möglich machte das eine Kombination aus Verfahrensrecht, Dringlichkeitsverfahren und geschicktem Timing. Der Vorgang ist inhaltlich problematisch und demokratiepolitisch ein Präzedenzfall, der weit über das Thema Kinderschutz hinausreicht.

Was am 9. Juli in Straßburg passiert ist

Das EU-Parlament hat am Donnerstag, dem 9. Juli 2026, in zweiter Lesung über die Verlängerung der sogenannten ePrivacy-Ausnahmeregelung abgestimmt – jener Übergangsverordnung, die es Anbietern wie Google, Meta oder Microsoft erlaubt, unverschlüsselte private Inhalte ihrer Nutzer freiwillig und anlasslos nach Darstellungen sexuellen Kindesmissbrauchs (CSAM) zu durchsuchen. Diese als „Chatkontrolle 1.0″ bekannte Regelung war am 3. April 2026 ausgelaufen, nachdem das Parlament ihre Verlängerung zuvor ausdrücklich abgelehnt hatte.

Das Abstimmungsergebnis ist bemerkenswert: In einem ersten Votum lehnte eine relative Mehrheit von 314 zu 276 Stimmen (bei 17 Enthaltungen) den Standpunkt des Rates ab. Weil es sich formal um eine zweite Lesung handelte, hätte es für die Ablehnung aber eine absolute Mehrheit von 360 der aktuell 719 Abgeordneten gebraucht. Die relative Mehrheit gegen das Gesetz war damit rechtlich wirkungslos. Angenommen wurde immerhin ein Änderungsantrag der Grünen-Fraktion, der Kommunikation, bei der Ende-zu-Ende-Verschlüsselung „angewendet wird, wurde oder werden wird“, vom Geltungsbereich ausnimmt. Weitere Änderungsanträge – etwa die Beschränkung auf bekanntes Material oder auf konkrete Verdächtige – verfehlten die absolute Mehrheit teils nur knapp. Ein zweiter Ablehnungsantrag gegen den geänderten Text scheiterte anschließend ebenfalls (276 zu 286 Stimmen, 30 Enthaltungen).

Damit ist die zweite Lesung abgeschlossen. Der geänderte Standpunkt geht nun an den Rat, der drei Monate Zeit hat, die Änderungen zu billigen – andernfalls käme der Vermittlungsausschuss zum Zug. Da Rat und Kommission die Verlängerung selbst betrieben haben, gilt die Zustimmung als wahrscheinlich. Die Regelung soll dann befristet bis April 2028 gelten.

Wie es dazu kam

Die Vorgeschichte ist ein Lehrstück europäischer Gesetzgebung:

Zeitpunkt Ereignis
Juli 2021 Verordnung (EU) 2021/1232 schafft eine befristete Ausnahme von der ePrivacy-Richtlinie: Anbieter dürfen private Kommunikation freiwillig auf CSAM scannen.
Mai 2022 Die Kommission legt den Entwurf der dauerhaften CSA-Verordnung vor („Chatkontrolle 2.0″), inklusive verpflichtender Aufdeckungsanordnungen bis hinein in verschlüsselte Dienste.
November 2023 Das Parlament beschließt seine Position zur CSA-Verordnung: keine anlasslose Massenüberwachung, kein Aufbrechen von Verschlüsselung, gezielte Anordnungen nur gegen Verdächtige.
Mai 2024 Verordnung (EU) 2024/1307 verlängert die Übergangsregelung bis 3. April 2026, weil sich der Rat bei der Dauerlösung nicht einigen kann.
November 2025 Der Rat einigt sich unter dänischer Präsidentschaft auf eine Position zur CSA-Verordnung – ohne verpflichtende Scans, aber mit dauerhaft freiwilliger Chatkontrolle.
März 2026 Das Parlament knüpft in erster Lesung die neuerliche Verlängerung der Übergangsregelung an enge Bedingungen (u. a. richterliche Genehmigung). Die Verhandlungen mit dem Rat scheitern; am 26. März lehnt das Parlament die Verlängerung ab.
3. April 2026 Die Übergangsregelung läuft aus. Die freiwilligen Scans verlieren ihre unionsrechtliche Grundlage.
Juni 2026 Der Rat verweist seinen Standpunkt zur zweiten Lesung zurück an das Parlament – abgestimmt mit Parlamentspräsidentin Roberta Metsola (EVP).
7. Juli 2026 Das Plenum lässt mit knapper Mehrheit (331 zu 304 Stimmen) ein Dringlichkeitsverfahren zu.
9. Juli 2026 Die Ablehnung scheitert an der Hürde der absoluten Mehrheit. Die Chatkontrolle 1.0 kommt zurück.

Der entscheidende Kniff liegt in Artikel 294 AEUV: In der zweiten Lesung gilt der Standpunkt des Rates als gebilligt, wenn das Parlament ihn nicht binnen Frist mit der Mehrheit seiner Mitglieder ablehnt oder ändert. Wer nicht anwesend ist oder sich enthält, stimmt faktisch für das Gesetz. Genau diese Logik wurde hier gezielt genutzt: Die Abstimmung wurde per Dringlichkeitsverfahren auf den letzten Sitzungstag vor der Sommerpause gelegt – laut dem fraktionslosen Abgeordneten Martin Sonneborn waren nur rund 600 Abgeordnete anwesend, womit die Schwelle von 360 Nein-Stimmen arithmetisch kaum erreichbar war. Sonneborn sprach von einem „illegalen Geschäftsordnungstrick“; gemeinsam mit der Autorin Sibylle Berg hatte er Metsola zuvor schriftlich aufgefordert, das Dringlichkeitsverfahren nicht zuzulassen, weil ein solches unvorhergesehene Entwicklungen voraussetze, die hier nicht vorlägen.

Wo das Problem bei der Chatkontrolle liegt

Zur Erinnerung, worüber hier gestritten wird: Die ePrivacy-Richtlinie schützt die Vertraulichkeit elektronischer Kommunikation. Die Ausnahmeregelung erlaubt es Diensteanbietern, diese Vertraulichkeit anlasslos zu durchbrechen – nicht auf richterliche Anordnung gegen Verdächtige, sondern flächendeckend, automatisiert und für sämtliche Nutzer. Das betrifft E-Mails, Cloud-Speicher und unverschlüsselte Messenger-Inhalte von rund 450 Millionen Menschen.

Die Einwände dagegen sind seit Jahren dieselben, und sie sind gut belegt:

Grundrechtlich kollidiert anlassloses Scannen mit den Artikeln 7 und 8 der Grundrechtecharta. Der EuGH hat in seiner ständigen Rechtsprechung zur Vorratsdatenspeicherung die allgemeine und unterschiedslose Erfassung von Kommunikationsdaten nur in engsten Ausnahmen zugelassen – hier geht es nicht einmal um Metadaten, sondern um Inhalte. Der Juristische Dienst des Rates hatte bereits 2023 gewarnt, dass generalisierte Scans privater Kommunikation den Wesensgehalt dieser Grundrechte verletzen dürften. Und der EGMR hat im Fall Podchasov gegen Russland (2024) festgehalten, dass eine Pflicht zur Schwächung von Ende-zu-Ende-Verschlüsselung für alle Nutzer mit Artikel 8 EMRK unvereinbar ist.

Technisch ist die Erkennung unzuverlässig. Hash-Abgleiche gegen bekanntes Material sind das eine; KI-Klassifikatoren, die unbekannte Bilder oder Grooming-Muster erkennen sollen, produzieren bei Milliarden gescannter Nachrichten selbst bei geringen Fehlerraten massenhaft falsche Verdachtsmeldungen – Urlaubsfotos, Sexting unter Jugendlichen, medizinische Aufnahmen. Hunderte IT-Sicherheitsforscher haben in mehreren offenen Briefen dargelegt, dass es die versprochene präzise und gleichzeitig grundrechtsschonende Erkennungstechnologie schlicht nicht gibt.

Empirisch ist der Nutzen fraglich. Der Bürgerrechtler Patrick Breyer verweist auf Zahlen der Kommission, wonach die freiwilligen Massenscans 2024 nur gut ein Drittel der Verdachtsmeldungen lieferten – der Großteil der Ermittlungserfolge entsteht anderswo, etwa durch klassische Polizeiarbeit und Hinweise. Die EVP hält dagegen: Fraktionschef Manfred Weber begründete den Vorstoß mit einer massiven Zunahme KI-generierten Missbrauchsmaterials und damit, dass ein Großteil davon in Europa gehostet werde. Nur: Gehostetes, also öffentlich zugängliches Material ließe sich gezielt bei den Hostern bekämpfen – dafür braucht niemand den Blick in private Postfächer Unverdächtiger.

Sicherheitsarchitektonisch – und das ist die Perspektive, die mich als CISO am meisten beschäftigt – schafft jede Scanning-Infrastruktur eine neue Angriffsfläche und einen Präzedenzfall. Wer heute Systeme zur inhaltlichen Durchleuchtung privater Kommunikation aufbaut, liefert die Blaupause für morgen: Die Ausweitung auf andere Deliktsfelder ist dann nur noch eine politische Entscheidung, keine technische. Gleichzeitig sendet die EU widersprüchliche Signale, wenn sie in NIS2 und DORA Verschlüsselung als Stand der Technik einfordert und sie andernorts zur Disposition stellt.

Immerhin: Die vom Parlament durchgesetzte Ausnahme für Ende-zu-Ende-verschlüsselte Kommunikation – ausdrücklich auch für künftig verschlüsselte Inhalte, was Client-Side-Scanning einen Riegel vorschieben soll – ist ein substanzieller Pflock. Signal, Threema und WhatsApp-Nachrichten bleiben außen vor. Gescannt werden dürfen unverschlüsselte Dienste: klassische E-Mail, Cloud-Speicher, Direktnachrichten auf Plattformen.

Warum das Verfahren demokratiepolitisch ein Problem ist

Man kann zur Chatkontrolle stehen, wie man will – das Zustandekommen dieser Entscheidung sollte jeden beunruhigen, dem parlamentarische Demokratie etwas bedeutet. Vier Punkte:

Erstens: Ein totes Gesetz wurde administrativ wiederbelebt. Das Parlament hatte die Verlängerung im März mit klarer Mehrheit (311 zu 228 Stimmen) abgelehnt. Politisch war die Sache erledigt. Dass der Rat daraufhin seinen Standpunkt formal zur zweiten Lesung zurückverwies – koordiniert mit der Parlamentspräsidentin, die dafür laut Berichten die Rückendeckung der Mitgliedstaaten und der eigenen EVP einholte, nicht aber der übrigen Fraktionen –, ist juristisch zulässig, aber ein bewusstes Umgehen des erklärten Mehrheitswillens.

Zweitens: Die umgekehrte Mehrheitslogik wurde als Waffe eingesetzt. Die Regel, dass in zweiter Lesung Schweigen als Zustimmung gilt, ist für den Normalfall gedacht: ausverhandelte Kompromisse, vorbereitet im Ausschuss, abgestimmt bei voller Präsenz. Hier wurde sie gezielt mit einem Dringlichkeitsverfahren kombiniert, das den Ausschussweg abschnitt, und auf einen Termin gelegt, an dem die Ablehnungsschwelle faktisch unerreichbar war – mitten in der Fußball-WM, am Tag vor der Sommerpause. Selbst die zuständige Berichterstatterin kritisierte das Vorgehen öffentlich als unfaires Manöver.

Drittens: Das Ergebnis widerspricht dem Votum. Eine relative Mehrheit stimmte gegen das Gesetz – es gilt trotzdem als angenommen. Der Abgeordnete Fabio De Masi brachte es auf die Formel: „Es wird abgestimmt, bis das Ergebnis passt.“ Formale Legalität und demokratische Legitimität fallen hier sichtbar auseinander. Konstantin Macher von der Digitalen Gesellschaft sprach von einem „schlechten Tag für die europäische Demokratie” – und die Kritik kam quer durch die Fraktionen, von Grünen und Linken über Liberale bis zu Rechtsaußen.

Viertens: Der Präzedenzfall. Wenn Ratspräsidentschaft, Kommission und Parlamentsspitze künftig jede in erster Lesung gescheiterte Vorlage über die Zweite-Lesung-Mechanik, ein Dringlichkeitsverfahren und geschicktes Timing doch noch durchbringen können, verlieren Parlamentsmehrheiten ihren Wert als politische Festlegung. Das schwächt ausgerechnet die einzige direkt gewählte EU-Institution – orchestriert von ihrer eigenen Präsidentin. Für die laufenden Trilogverhandlungen zur Chatkontrolle 2.0 ist das ein fatales Signal, auch wenn dort die normalen Mehrheitsregeln gelten und die 314 Nein-Stimmen dem Verhandlungsteam des Parlaments durchaus den Rücken stärken.

Der Blick aus Österreich

Österreich gehörte im Rat – gemeinsam mit Deutschland – stets zu den Bremsern der Chatkontrolle; der EU-Unterausschuss des Nationalrats hat die Bundesregierung schon 2023 mit einer bindenden Stellungnahme auf ein Nein zur anlasslosen Überwachung festgelegt. Die österreichische Delegation im EU-Parlament war diesmal gespalten: SPÖ und ÖVP kündigten Zustimmung an, FPÖ, NEOS und Grüne stimmten dagegen – aus durchaus unterschiedlichen Motiven. ÖVP-Mandatar Lukas Mandl verteidigte das Ergebnis mit dem Argument, Kinderschutz dürfe keine Verhandlungsmaterie sein. Das Gegenteil ist richtig: Gerade weil Kinderschutz so wichtig ist, verdient er wirksame, grundrechtskonforme Instrumente – und ein Verfahren, das einer Prüfung standhält.

Was jetzt gilt – und was noch kommt

Kurzfristig: Der Rat muss die Parlamentsänderungen binnen drei Monaten billigen, dann gilt die freiwillige Chatkontrolle wieder – befristet bis April 2028, mit ausdrücklicher Ausnahme für Ende-zu-Ende-Verschlüsselung. Parallel laufen die Trilogverhandlungen zur dauerhaften CSA-Verordnung; unter der zypriotischen Ratspräsidentschaft wurden im ersten Halbjahr 2026 die meisten Punkte geeint, einzelne Aspekte – allen voran der Umgang mit privater Kommunikation und Cloud-Speichern – sind weiter offen. Der Herbst wird entscheidend.

Für Unternehmen und Berufsgeheimnisträger bleibt die praktische Konsequenz simpel: Ende-zu-Ende-Verschlüsselung ist jetzt auch rechtlich die harte Trennlinie. Wer vertrauliche Inhalte – Mandantenkommunikation, Geschäftsgeheimnisse, Gesundheitsdaten – über unverschlüsselte Consumer-Dienste großer Plattformen schickt, muss davon ausgehen, dass diese Inhalte automatisiert durchleuchtet werden dürfen. Eine klare Kommunikationsrichtlinie mit E2EE-Standard für alles Schutzwürdige ist keine Kür mehr, sondern Pflicht.

Die Chatkontrolle ist damit nicht Geschichte, sondern Dauerzustand – inhaltlich wie institutionell. Und die eigentliche Lehre dieser Woche lautet: Wer Grundrechte verteidigen will, muss inzwischen auch die Geschäftsordnung lesen.


Quellen