top of page

Chatkontrolle 2026: Wie die EU zwischen Kinderschutz und Ende-zu-Ende-Verschlüsselung taktiert

Wer in den letzten Tagen "Chatkontrolle" gegoogelt hat, war in guter Gesellschaft: Laut Ubersuggest-Daten schoss das Suchvolumen zum Begriff im Zuge der jüngsten Abstimmungen förmlich in die Höhe. Kein Wunder – am 9. Juli 2026 hat das EU-Parlament in einem Eilverfahren eine bereits zweimal abgelehnte Verlängerung der sogenannten Chat Control 1.0 doch noch durchgewinkt. Gleichzeitig verhandeln Kommission, Rat und Parlament seit Monaten im Trilog über die eigentliche, dauerhafte Verordnung – offiziell "CSA-Verordnung" (Child Sexual Abuse Regulation), im Volksmund Chat Control 2.0. Zwei verschiedene Dossiers, ein gemeinsames Ziel, viel Verwirrung.


Kurz gesagt: Chat Control 1.0 ist eine freiwillige, bereits laufende Regel für unverschlüsselte Inhalte. Chat Control 2.0 wäre die grosse, potenziell verpflichtende Lösung – und genau die ist noch nicht beschlossen. Wer nur die Schlagzeilen der letzten Tage gelesen hat, könnte das leicht verwechseln. Hier ordnen wir beides sauber ein.



EU-Flagge – Symbolbild zur Chatkontrolle und CSA-Verordnung der Europäischen Union
Chatkontrolle 2026: Chat Control 1.0 ist verlängert, Chat Control 2.0 (CSA-Verordnung) steckt im Trilog. Fakten, FAQ und Original-Gesetzestext zum Nachlesen.

Vergleich: Chat Control 1.0 vs. Chat Control 2.0


Merkmal

Chat Control 1.0

Chat Control 2.0

Status

Verlängert bis 2028


(Eilverfahren, 9. Juli 2026)

Im Trilog, noch nicht beschlossen


(5. Trilogrunde: 29. Juni 2026)

Rechtsgrundlage

Verordnung (EU) 2021/1232

CSA-Verordnung, COM(2022) 209

Funktionsprinzip

Freiwillige Suche nach bekanntem Material in unverschlüsselten Inhalten.

Potenziell verpflichtende Detection Orders (EU-Zentrum in Den Haag).

Betrifft Verschlüsselung

🟢 Nein

🟡 Umstritten


• Client-Side-Scanning aktuell aus Entwurf gestrichen.

Anbieter

Freiwillige Basis


(z. B. Meta, Google, Microsoft)

Verpflichtend für alle


Hosting- & Kommunikationsdienste.


Zwei Baustellen, ein Name


Die Verwechslungsgefahr ist gross, weil unter dem Schlagwort "Chatkontrolle" faktisch zwei separate Rechtsakte laufen:


  1. Chat Control 1.0 ist eine 2021 eingeführte, befristete Ausnahme von der ePrivacy-Richtlinie (Verordnung (EU) 2021/1232). Sie erlaubt Anbietern wie Meta, Google oder Microsoft, freiwillig und automatisiert nach bekanntem Missbrauchsmaterial in unverschlüsselten Chats und Mails zu suchen. Diese Regelung lief am 4. April 2026 aus, nachdem das Parlament eine Verlängerung im März zunächst klar abgelehnt hatte. Über ein umstrittenes Eilverfahren – Parlamentspräsidentin Roberta Metsola brachte den Antrag gegen den Widerstand grosser Teile des Hauses erneut ein – wurde die Ausnahme nun bis 2028 verlängert. Kritiker aus mehreren Fraktionen werten das Vorgehen als Umgehung der eigentlich schon gefällten Entscheidung.


  2. Chat Control 2.0, offiziell die vorgeschlagene CSA-Verordnung, ist die deutlich weitreichendere dauerhafte Regelung. Sie geht auf einen Kommissionsvorschlag vom Mai 2022 zurück und würde – anders als die freiwillige Ausnahme 1.0 – Anbietern unter bestimmten Voraussetzungen verpflichtende Detection Orders auferlegen können, inklusive der Pflicht, ein neu zu schaffendes "EU-Zentrum zur Verhütung und Bekämpfung von sexuellem Kindesmissbrauch" mit Sitz in Den Haag zu beliefern. Genau dieses Dossier steckt seit Jahren im Trilog fest; die für Juli 2026 avisierte finale Einigung ist nach Stand der Verhandlungen (fünfte Trilogrunde am 29. Juni 2026) noch nicht erreicht.



Was die CSA-Verordnung inhaltlich vorsieht


Der ursprüngliche Kommissionsentwurf ist ein umfangreiches Regelwerk. Die zentralen Bausteine:


  • Risikobewertung und Meldepflichten: Hosting- und Kommunikationsdienste müssten das Missbrauchsrisiko ihrer Dienste laufend bewerten und Massnahmen dagegen ergreifen.


  • Detection Orders: Nationale Behörden könnten Gerichte oder unabhängige Verwaltungsbehörden um Anordnungen ersuchen, die einen Anbieter zur aktiven Suche nach bekanntem Material, neuem Material oder "Grooming"-Mustern verpflichten.


  • Das EU-Zentrum: Eine neue dezentrale EU-Agentur würde Indikator-Datenbanken pflegen, eingehende Meldungen filtern und an Europol sowie nationale Strafverfolgungsbehörden weiterleiten.


  • Removal- und Blocking-Orders: Bekanntes Material müsste EU-weit innert 24 Stunden entfernt werden; Internetzugangsanbieter könnten zur Sperrung entsprechender URLs verpflichtet werden.


  • Opferrechte: Betroffene erhielten ein Auskunftsrecht sowie Unterstützung bei der Entfernung von Missbrauchsmaterial, das sie zeigt.


Der heikelste Punkt seit Beginn der Debatte: die Frage, ob auch verschlüsselte Kommunikation gescannt werden müsste. Genau dieser Teil – das serverseitige Aufbrechen oder das geräteseitige Scannen ("Client-Side Scanning") vor der Verschlüsselung – wurde in den jüngsten Verhandlungsrunden aus dem aktuell diskutierten Entwurf gestrichen. Verhandelt wird aktuell primär über eine freiwillige Lösung für nicht verschlüsselte Inhalte, während die verpflichtende Erkennung in Ende-zu-Ende-verschlüsselten Diensten politisch vorerst vom Tisch zu sein scheint. Endgültig entschieden ist das jedoch nicht, solange kein Trilog-Ergebnis vorliegt.



Die Debatte: Kinderschutz versus Grundrechte

Auf der einen Seite steht eine nüchterne Zahl aus der Impact-Assessment-Begründung der Kommission: 2021 gingen beim US-Meldezentrum NCMEC über 21 Millionen Hinweise auf Missbrauchsmaterial ein, mehr als eine Million davon mit EU-Bezug – 2021 lag die Zahl bereits bei rund 29 Millionen. Befürworter, angeführt von der EVP-Fraktion und Innenkommissar Magnus Brunner, argumentieren, dass freiwillige Massnahmen einzelner Anbieter nicht ausreichen und ein einheitlicher EU-Rahmen sowohl den Kinderschutz verbessert als auch den Digital-Binnenmarkt vor einem Flickenteppich nationaler Alleingänge bewahrt.


Auf der anderen Seite formiert sich seit Jahren Widerstand aus Zivilgesellschaft, Kryptografie-Community und Teilen des Parlaments – von Grünen über AfD bis zu fraktionslosen Abgeordneten. Der Europaabgeordnete Patrick Breyer dokumentiert die Verhandlungsgeschichte minutiös auf seiner Website und spricht von einem "Ende des digitalen Briefgeheimnisses". Auch aus der Kryptowelt kam zuletzt Kritik: Ethereum-Miterfinder Vitalik Buterin warnte, eine Schwächung von Verschlüsselungsstandards gefährde die Sicherheit weit über Messenger-Apps hinaus. Der Deutsche Kinderschutzbund selbst forderte im Herbst 2025 "zielgerichtete Massnahmen statt anlassloser Massenüberwachung" – ein Hinweis darauf, dass die Frontlinie nicht simpel zwischen "für" und "gegen" Kinderschutz verläuft, sondern zwischen unterschiedlichen Vorstellungen davon, wie er wirksam und verhältnismässig umgesetzt wird.


Auch unter den Mitgliedstaaten ist die Stimmung nicht einheitlich: Italien stimmte dem aktuellen Verhandlungstext zwar zu, reichte aber eine formelle Erklärung ein, in der es vor Risiken der Massenüberwachung warnt.



Was das für die Schweiz und für Unternehmen bedeutet


Die CSA-Verordnung ist EU-Recht und gilt nicht direkt in der Schweiz. Relevant wird sie für Schweizer Unternehmen trotzdem über zwei Wege:


  1. Marktortprinzip: Wer als Schweizer Anbieter Hosting- oder Kommunikationsdienste in der EU anbietet – etwa eine SaaS-Lösung mit EU-Kundschaft –, würde unter den räumlichen Anwendungsbereich fallen, unabhängig vom Sitz der Firma.

  2. Faktische Standardsetzung: Wie bei der DSGVO ist zu erwarten, dass grosse Plattformen ihre Compliance-Massnahmen global ausrollen, statt separate EU- und Nicht-EU-Versionen zu pflegen. Wer beruflich mit Messengern, Cloud-Speichern oder E-Mail-Diensten arbeitet, wird die Auswirkungen also auch ausserhalb der EU spüren.


Für IT- und Digitalisierungsverantwortliche – auch ausserhalb der EU – lohnt sich schon jetzt ein Blick auf die eigene Kommunikationsinfrastruktur: Welche Dienste würden bei einer allfälligen Detection Order betroffen sein, wie sieht die eigene Verschlüsselungsstrategie aus, und wie transparent kommuniziert der jeweilige Anbieter seine Haltung zu diesem Thema?



FAQ: Chatkontrolle in Kürze


Was ist der Unterschied zwischen Chat Control 1.0 und Chat Control 2.0?

Chat Control 1.0 ist eine seit 2021 bestehende, freiwillige Ausnahmeregel: Anbieter wie Meta, Google oder Microsoft dürfen unverschlüsselte Chats und Mails automatisiert nach bekanntem Missbrauchsmaterial durchsuchen. Sie wurde am 9. Juli 2026 bis 2028 verlängert. Chat Control 2.0, offiziell die CSA-Verordnung, wäre die dauerhafte, weitreichendere Nachfolgeregelung mit potenziell verpflichtenden Anordnungen. Sie ist noch nicht beschlossen und steckt im Trilog.


Müssen WhatsApp, Signal oder iMessage jetzt private Nachrichten scannen?

Nein, jedenfalls nicht durch die aktuell verlängerte Chat Control 1.0 – diese betrifft nur die freiwillige Suche in unverschlüsselten Inhalten. Eine Pflicht zum Scannen Ende-zu-Ende-verschlüsselter Nachrichten (Client-Side Scanning) war Teil früherer CSA-Verordnungsentwürfe, wurde aber in den jüngsten Trilog-Verhandlungen aus dem diskutierten Text gestrichen. Endgültig vom Tisch ist das Thema erst mit einer finalen Einigung.


Ist die Chatkontrolle in der Schweiz bereits Gesetz?

Nein. Die EU-Verordnung gilt nicht direkt in der Schweiz. Relevant wird sie für Schweizer Firmen trotzdem, wenn sie Dienste in der EU anbieten (Marktortprinzip) oder wenn globale Anbieter ihre Compliance-Massnahmen weltweit ausrollen – ähnlich wie bei der DSGVO.


Was ist eine "Detection Order" nach der CSA-Verordnung?

Eine Anordnung, mit der eine nationale Behörde über ein Gericht oder eine unabhängige Verwaltungsbehörde einen konkreten Anbieter verpflichten könnte, gezielt nach bekanntem Missbrauchsmaterial, neuem Material oder Grooming-Mustern auf einem bestimmten Dienst zu suchen. Sie ist im aktuellen Entwurf an strenge Voraussetzungen und Sicherheitsvorkehrungen gebunden und nicht mit einer flächendeckenden, anlasslosen Überwachung gleichzusetzen – genau darüber, wie eng diese Voraussetzungen am Ende gefasst werden, wird aber weiterverhandelt.


Wann fällt die endgültige Entscheidung zu Chat Control 2.0?

Ein Abschluss "noch im Juli 2026" war zuletzt das erklärte Ziel der Verhandlungsführenden von Kommission, Rat und Parlament. Verbindlich ist das nicht: Das Dossier wurde in der Vergangenheit bereits mehrfach verschoben. Der aktuelle Stand lässt sich am zuverlässigsten direkt im Gesetzgebungsdossier auf EUR-Lex oder in der laufend aktualisierten Chronologie von Patrick Breyer verfolgen.



Wie es weitergeht


Der Fahrplan bleibt bewegt: Chat Control 1.0 ist nun bis 2028 verlängert, was Anbietern Rechtssicherheit für die freiwillige Erkennung unverschlüsselter Inhalte gibt. Für Chat Control 2.0 fehlt weiterhin eine finale Trilog-Einigung; ein Abschluss "noch im Juli 2026" war zuletzt das erklärte, aber nicht garantierte Ziel der Verhandlungsführenden. Bis dahin lohnt sich für alle, die beruflich mit digitalen Diensten in der EU zu tun haben, ein Blick auf die Originalquellen statt auf Schlagzeilen – etwa das Gesetzgebungsdossier auf EUR-Lex oder die laufend aktualisierte Chronologie von Patrick Breyer.


Hinweis: Dieser Artikel ordnet den aktuellen Stand der Gesetzgebung ein, ersetzt aber keine Rechtsberatung. Für eine verbindliche Einschätzung der Auswirkungen auf das eigene Unternehmen empfiehlt sich der Beizug einer Fachperson.

Kommentare


bottom of page