🧭 Chat Control ist zurück – was bedeutet das nun konkret?
🌱 Einstieg

In den letzten Wochen haben sich zwei Entwicklungen überschlagen, die auf den ersten Blick wenig miteinander zu tun haben. Zusammen haben sie ein Gefühl in mir ausgelöst, das ich so noch nicht kannte. Es ist weder Panik noch Wut. Es ist vielmehr die Frage, ob die Entscheidungen, die ich für meinen digitalen Alltag getroffen habe, noch Sinn ergeben, wenn sich die Rahmenbedingungen verändern.
Vor acht Monaten habe ich begonnen, mich schrittweise von großen Technologiekonzernen zu lösen. Ich habe Dienste gewechselt, Alternativen gefunden und gelernt, dass manche Kompromisse unausweichlich sind. Ich habe aufgehört, nach der perfekten Lösung zu suchen, und stattdessen bewusste Entscheidungen getroffen, deren Grenzen mir bewusst sind. Das hat funktioniert und ich stehe weiterhin dazu.
Jetzt frage ich mich jedoch etwas anderes. Was nützt mir die bewussteste Entscheidung, wenn das rechtliche Fundament, auf dem sie steht, gerade wegbricht?
🧭 Zwei Entwicklungen, die zusammengehören
Das Urteil, das niemand bemerkt hat
Ende Juni berichtete heise online über ein Urteil des US Supreme Courts, das auf den ersten Blick wie eine rein amerikanische Innenpolitikgeschichte wirkt. Die konservative Mehrheit der Richter hat in der Rechtssache Trump v. Slaughter die Unabhängigkeit der Federal Trade Commission für verfassungswidrig erklärt. Die FTC war jahrzehntelang die Institution, auf die sich die EU-Kommission verlassen hat, um den Datenschutz beim transatlantischen Datenverkehr zu garantieren.
Die Abstimmung, die niemand mitbekommen hat
Knapp zwei Wochen später erschien auf ReclaimTheNet ein Bericht über das EU-Parlament, das am letzten Sitzungstag vor der Sommerpause eine Massenüberwachungsregelung wieder aufleben ließ, die es selbst im März abgelehnt hatte. Die Abstimmung ergab 314 Gegenstimmen, 276 Ja-Stimmen und 17 Enthaltungen. Mehr Parlamentarier stimmten dagegen als dafür. Das Gesetz passierte trotzdem, weil 361 Stimmen nötig gewesen wären, um es zu blockieren. Jeder leere Stuhl in Straßburg zählte als Ja-Stimme.

Was beide Ereignisse verbindet
Beide Ereignisse haben strukturell etwas gemeinsam, das mich nachdenklich gemacht hat. In beiden Fällen wird kein neues rechtliches Fundament durch einen Beschluss geschaffen, sondern durch das Verschwinden einer Voraussetzung, auf die man sich verlassen hat. Die FTC-Unabhängigkeit war die Bedingung, unter der europäische Daten in die USA fließen durften. Die Ablehnung von Chat Control war die Bedingung, unter der private Nachrichten nicht flächendeckend gescannt wurden. Beide Bedingungen existieren jetzt nicht mehr – oder zumindest nicht mehr in einer Form, die Vertrauen schafft.
📨 Die Analogie, die niemand stellt
In Deutschland gibt es das Briefgeheimnis, das in Artikel 10 des Grundgesetzes verankert ist. [Datenschutz.org] Es schützt verschlossene Briefe vor unbefugter Kenntnisnahme durch Dritte. Wer einen fremden Brief öffnet, macht sich strafbar. Dienstleister wie die Deutsche Post dürfen Sendungen nicht einfach lesen und auch Metadaten wie Absender und Empfänger nicht weitergeben.
Stell dir vor, die Deutsche Post würde ankündigen, künftig jeden Brief zu öffnen, zu scannen und auf verdächtige Inhalte zu prüfen. Nicht, weil ein Richter das anordnet oder es einen Verdacht gibt, sondern vorbeugend bei jedem Brief. Die Reaktion wäre unmissverständlich. Es gäbe Verfassungsbeschwerden, Demonstrationen und Rücktrittsforderungen. Niemand würde das akzeptieren.
Genau das passiert jetzt mit digitaler Kommunikation. Ein verschlossener Brief ist technisch gesehen nichts anderes als eine verschlüsselte Nachricht. Der Umschlag entspricht der Verschlüsselung. Eine Postkarte entspricht einer unverschlüsselten Nachricht, die jeder mitlesen kann, der sie in die Hand bekommt.
💬 Was bedeutet das für WhatsApp und Signal?
Chat Control 1.0, das jetzt wieder auflebt, scannt unverschlüsselte Kommunikation. [EUR-Lex] Das betrifft Direktnachrichten auf Plattformen wie Instagram oder Facebook, bei denen keine echte Ende-zu-Ende-Verschlüsselung stattfindet. Die Messenger, die die meisten von uns täglich nutzen, sind davon aktuell nicht direkt betroffen.
Die Frage, die sich jetzt sofort stellt, lautet: Was bedeutet das für WhatsApp und Signal?
Beide nutzen Ende-zu-Ende-Verschlüsselung. Chat Control 1.0 enthält eine Ausnahme für verschlüsselte Kommunikation, sodass WhatsApp und Signal im Moment nicht unmittelbar vom aktuellen Beschluss betroffen sind. Diese Ausnahme ist allerdings schwächer, als sie klingt. Sie verbietet etwas, das technisch ohnehin nicht stattfand. Niemand hat bisher verschlüsselte Chats gescannt, da dies technisch nicht ohne Weiteres möglich ist.
Der nächste Schritt: Client-Side Scanning
Das eigentliche Ziel ist jedoch Chat Control 2.0, und genau das beunruhigt mich. Chat Control 2.0, zielt mit Client-Side Scanning genau auf die Ende-zu-Ende-Verschlüsselung ab. [EUR-Lex] Die Idee dabei ist, dass eine Nachricht auf dem Gerät gescannt wird, bevor sie verschlüsselt und versendet wird. Die Verschlüsselung bleibt formal erhalten, aber der Inhalt wird vorher geprüft.
Der verschlossene Brief wird also geöffnet, gelesen und wieder zugeklebt, bevor er versendet wird. Dass er auf dem Weg verschlossen ist, stimmt. Dass er privat war, stimmt jedoch nicht mehr.
Vielleicht fragst du dich jetzt das Gleiche wie ich: Wenn das so ist, was bleibt dann noch von privater Kommunikation übrig?
🌍 Was bedeutet das für meinen Weg?

Die Welt, in der ich entschied
Vor acht Monaten habe ich beschrieben, wie ich mich von Big Tech gelöst habe. Ich bin zu Proton Mail gewechselt, nutze Filen als Cloud-Speicher und arbeite mit Firefox als Standardbrowser. Später habe ich aufgehört, die perfekte Alternative zu suchen, und akzeptiert, dass Infrastruktur, Hardware und KI-Modelle weiterhin von wenigen großen Anbietern geprägt werden.
All diese Entscheidungen habe ich in einer Welt getroffen, in der das europäische Datenschutzrecht ein Fundament bildete, auf das ich mich verlassen konnte. Die DSGVO existierte, das EU-US Data Privacy Framework regelte den Datenverkehr mit den USA und das Briefgeheimnis galt als unantastbares Grundrecht.
Der Rahmen, der wegbricht
Was sich jetzt verändert, ist nicht die Frage, welche App ich nutze. Es ist die Frage, unter welchem rechtlichen Rahmen ich sie nutze.
Das EU-US Data Privacy Framework, auf dem der gesamte transatlantische Datenverkehr basiert, beruht nach Einschätzung von Noyb auf einer völlig verwaisten Grundlage. Die EU-Kommission hat sich 259-mal auf die Unabhängigkeit der FTC berufen. Diese Unabhängigkeit existiert jedoch nicht mehr. Der Data Protection Review Court, eine weitere Instanz, die Datenschutzbeschwerden von EU-Bürgern behandeln sollte, ist keine unabhängige Instanz, sondern eine Behörde innerhalb des US-Justizministeriums, die der Präsident jederzeit auflösen kann.
Das bedeutet konkret, dass europäische Daten, die an US-Anbieter übermittelt werden, nicht mehr der Aufsicht einer unabhängigen Behörde unterliegen. Laut DSGVO muss die Überwachung des Datenschutzes jedoch durch unabhängige Behörden erfolgen. Diese Voraussetzung ist faktisch weggefallen.
Formal bleibt das Abkommen in Kraft, bis die EU-Kommission es widerruft oder der Europäische Gerichtshof es für nichtig erklärt. Noyb hat die Kommission bereits formell aufgefordert, den Angemessenheitsbeschluss aufzuheben. Eine Entscheidung des EuGH wird in zwei bis drei Jahren erwartet. Bis dahin gilt eine Übergangsphase, in der sich europäische Unternehmen auf ein Abkommen stützen, dessen rechtliche Basis faktisch nicht mehr existiert.
⚖️ Das Argument, das jedes ersetzt
„Ich habe nichts zu verbergen“
Das Standardargument in dieser Debatte lautet: „Ich habe nichts zu verbergen.“ Ich habe diesen Satz oft gehört und ich verstehe, woher er kommt. Er ist bequem, weil er die Frage vom Tisch räumt, ohne dass man sich mit ihr auseinandersetzen muss.
Vielleicht denkst du gerade das Gleiche. Wenn du keine Straftaten begangen hast, keine illegalen Inhalte geteilt hast und nichts zu verbergen hast, betrifft dich das doch gar nicht.
Ich glaube jedoch, dass dieses Argument die falsche Frage beantwortet. Es geht nicht darum, ob ich etwas zu verbergen habe. Es geht darum, ob der Staat das Recht hat, jede meiner privaten Nachrichten zu scannen, ohne dass ein Verdacht besteht. Das Briefgeheimnis beantwortet diese Frage mit einem klaren Nein. Und das nicht, weil Briefe nur von unbescholtenen Menschen geschrieben werden, sondern weil Privatsphäre ein Grundrecht ist und kein Privileg für diejenigen, die sich nichts vorzuwerfen haben.

Das Argument, das Opposition unmoralisch macht
Das Argument „Ich habe nichts zu verbergen“ funktioniert nur, solange man dem Staat vertraut, dass er nur das sucht, was er offiziell sucht. Die Geschichte zeigt jedoch, dass Überwachungsbefugnisse selten bei ihrem ursprünglichen Zweck bleiben. Chat Control wird mit dem Schutz von Kindern begründet. Wer dagegen argumentiert, wird moralisch in die Ecke gestellt, als unterstütze er den Missbrauch. Das ist kein neues Muster. Dieselbe Argumentation wurde zuvor bei der Terrorismusbekämpfung verwendet. Das Ziel wechselt, die Methode bleibt.
Früher war es der Terrorismus, heute sind es Kinder. Man wählt ein Argument, bei dem Opposition unmoralisch wirkt, und nutzt es, um eine Überwachung durchzusetzen, die unter anderen Umständen auf Widerstand gestoßen wäre.
🧱 Warum individuelle Lösungen nicht mehr ausreichen
Was noch funktioniert
In meinem Artikel über den Weg von Big Tech habe ich geschrieben, dass ein Wechsel auf Anwendungsebene oft möglich ist, auf Infrastrukturebene jedoch nur sehr begrenzt. Das hat sich nicht geändert.
Ich kann Proton Mail nutzen, weil Proton auf Schweizer Recht und Ende-zu-Ende-Verschlüsselung setzt. Ich kann Signal nutzen, weil der Messenger keine Metadaten speichert und verschlüsselt. Diese Entscheidungen treffe ich nach wie vor selbst.
Was nicht mehr reicht
ΩWas ich nicht mehr sicher sagen kann, ist, ob diese Entscheidungen ausreichen, wenn der rechtliche Rahmen wegfällt. Proton betreibt seine Server in Europa, was mich vor dem direkten Zugriff durch US-Behörden schützt. Wenn aber Chat Control 2.0 kommt und Client-Side Scanning vorgeschrieben wird, dann nützt mir die beste Verschlüsselung nichts, wenn mein Gerät die Nachricht vor der Verschlüsselung scannt und weitergibt.
Das ist die Bedeutungsverschiebung, die ich empfinde. Es geht nicht mehr darum, die richtige App zu wählen. Es geht darum, ob es noch einen Raum gibt, in dem die Wahl der richtigen App überhaupt etwas bedeutet.
🔍 Was ich daraus mache
Ich habe keine Lösung für dieses Problem. Ich habe nicht einmal eine klare Haltung dazu, was jetzt zu tun ist, weil mir die Tragweite noch nicht vollständig klar ist.
Was ich jedoch tun kann, ist beschreiben, was sich für mich verändert hat:
- Ich hinterfrage nicht mehr nur, welche Tools ich nutze, sondern auch den rechtlichen Rahmen, in dem ich sie nutze
- Ich erkenne, dass demokratische Entscheidungen durch Verfahrenstricks überstimmt werden können, ohne dass dies formal illegal ist
- Ich erkenne, dass zwei Entwicklungen, die isoliert betrachtet unterschiedliche Bereiche betreffen, zusammen eine Bedrohung darstellen, die größer ist als die Summe ihrer Teile
Chat Control betrifft mein WhatsApp, mein Signal und alle privaten Nachrichten. Das EU-US Data Privacy Framework betrifft jede Cloud, jeden Mailserver und jede Datenübermittlung in die USA. Beides zusammen bedeutet, dass die Privatsphäre, die ich mir durch den Wechsel von Tools zurückerkämpft habe, auf zwei Ebenen gleichzeitig untergraben wird.
Die 361-Stimmen-Schwelle im EU-Parlament hat gezeigt, dass Demokratie nicht bedeutet, dass die Mehrheit entscheidet. Vielmehr bedeutet sie, dass die Mehrheit entscheidet, wenn genug Menschen anwesend sind, um ihre Stimme abzugeben. Wenn ein Gesetz verabschiedet wird, das mehr Gegenstimmen als Zustimmung erhält, dann hat sich nicht das Gesetz, sondern die Abwesenheit seiner Gegner durchgesetzt.
[European Parliament Website – „Unter den zweiten Lesungsregeln des EU-Parlaments kann das Parlament eine Stellungnahme des Rates im zweiten Lesen nur ablehnen oder ändern, wenn eine absolute Mehrheit aller Mitglieder zustimmt – aktuell 361 von 720 Mitgliedern – und nicht nur eine Mehrheit derjenigen, die abstimmen.“ ]
Das ist für mich die beunruhigendste Erkenntnis aus dieser Entwicklung. Nicht die Überwachung selbst ist neu. Neu ist die Selbstverständlichkeit, mit der sie durchgesetzt wird, nachdem sie bereits abgelehnt war.
🧭 Meine Einordnung
Ich bleibe bei meinen Entscheidungen. Proton, Signal, Filen, Firefox – diese Tools funktionieren für mich und ich stehe zu ihnen. Ich werde auch weiterhin keine Dienste nutzen, die mir KI aufdrängen oder mir keine echte Möglichkeit bieten, darauf zu verzichten.
Dabei bin ich mir bewusst, dass individuelle Migrationsentscheidungen nicht mehr ausreichen, wenn der rechtliche Rahmen wegbricht. Ich kann die beste App wählen – wenn der Staat mein Gerät vor der Verschlüsselung scannt, ist die Frage der App sekundär.
Das Briefgeheimnis ist im Grundgesetz verankert und niemand wagt ernsthaft, es formal anzutasten. Was stattdessen passiert, ist subtiler und wirksamer: Das Grundrecht bleibt formal bestehen, während seine digitale Entsprechung leerläuft. Ein Brief bleibt verschlossen, weil das Gesetz es vorschreibt. Eine Nachricht wird gescannt, weil die Technik es ermöglicht.
Genau darin liegt für mich die Bedeutungsverschiebung. Grundrechte sind nicht verschwunden. Sie sind informativ geworden. Sie existieren auf dem Papier, aber sie greifen nicht mehr dort, wo das Leben tatsächlich stattfindet – im digitalen Raum.
Ich bin ein braver Bürger. Ich habe nichts zu verbergen, was eine strafrechtliche Relevanz hätte. Diese Frage war für mich nie der Punkt. Der springende Punkt ist, dass der Schritt von „Ich habe nichts zu verbergen“ zu „Darf ich dir beweisen, dass ich nichts zu verbergen habe“ ein Schritt ist, der nicht rückgängig zu machen ist.
Die Frage, die mich am meisten beschäftigt, ist nicht, was ich jetzt anders machen soll. Es ist die Frage, ob es noch eine Grenze gibt, an der wir als Gesellschaft sagen: Bis hierher und nicht weiter. Oder ob die Grenze längst überschritten ist und wir es nur noch nicht bemerkt haben.
Mich würde interessieren, wo du diese Grenze ziehst. Bei welcher Nachricht, bei welchem Eingriff würdest du sagen: Das geht zu weit?
Über den Autor:

Hi! Ich bin Marcel. 🙂
Hauptberuflich arbeite ich als IT-Projektmanager und lebe aktuell in Hamburg. Neben dem Bloggen als Hobby reise ich gerne. Mittlerweile treibe ich wieder recht viel Sport (Ausdauer und Kraft).
Wenn ich mich entspannen will, gehe ich gerne in den Park oder schaue ich mir gerne Inhalte auf YouTube und den bekannten Streamingdiesnt an oder höre SoundCloud und spiele parallel dazu aber weniger werdend z.B. Diablo 3. 🙂
Ich habe diesen Blog im Jahr 2018 gestartet, um über meine Erfahrungen im IT-Bereich zu berichten. Denn ich helfe gerne anderen Menschen.
Derzeit bin ich mit keinem Betriebssystem so richtig zufrieden und bevorzuge Software, die überall läuft. Am liebsten als Web-App mit Ende-zu-Ende-Verschlüsselung.

⇨ Unterstütze den Blog und hilf mit! 😉
Hinweise: Bei den kursiv geschriebenen Wörtern kann es sich um eingetragene Marken oder Firmen handeln! Beispiele: Google, YouTube und Android. Alle Marken gehören ihren jeweiligen Eigentümern. Die Nutzung erfolgt ausschließlich zu Vergleichs- und Informationszwecken. Es kann sich aber auch um Fachbegriffe aus der IT-Welt handeln, die an diversen Stellen im Blog beschrieben werden.
Transparenz: Ich nutze KI-Tools wie z.B. Proton Lumo, verschiedene LLMs über Mammouth.ai und DeepL Write Pro, um dir neuen Content schneller und komprimierter bereitstellen zu können und um Sprache und Grammatik zu verbessern. Für einige Bilder nutze ich den Inhalt von Envato Elements im Langzeitabonnement und besitze somit die entsprechenden Medienlizenzen. Das gilt auch für die Erstellung von Logos und Designs mit Canva (auch mit dessen KI-Funktionen), Affinity und GIMP und weiteren Open-Source-Tools.
