Dreimal abgelehnt, trotzdem beschlossen: Was die Chatkontrolle für deinen Messenger bedeutet
Ein Gesetz, das eine Mehrheit des EU-Parlaments dreimal nicht wollte, gilt seit dem 9. Juli 2026 als angenommen. Seitdem kommt bei mir immer wieder dieselbe Frage an: Muss ich jetzt weg von Signal? Zieht sich Signal aus Europa zurück? Ist SimpleX ab sofort Pflicht?
Die kurze Antwort auf alle drei: nein. Die längere lohnt sich trotzdem – denn was in Straßburg passiert ist, sagt weniger über deine Nachrichten aus als darüber, wie dünn das Eis ist, auf dem wir alle kommunizieren.
Was am 9. Juli wirklich passiert ist
Kurzer Rückblick, damit die Absurdität sichtbar wird:
Am 26. März 2026 lehnte das EU-Parlament die Verlängerung der sogenannten Chatkontrolle 1.0 klar ab – 311 zu 228 Stimmen. Diese Übergangsregelung erlaubte es Anbietern seit 2021, private Nachrichten freiwillig und automatisiert auf Missbrauchsdarstellungen zu scannen. Am 3. April lief sie aus. Damit war das anlasslose Durchleuchten privater Kommunikation in der EU erstmals seit Jahren ohne Rechtsgrundlage.
Dann kam der Sommer. Der Rat übernahm Anfang Juli die alte Position und löste damit ein Verfahren aus, das kaum jemand auf dem Schirm hatte: die zweite Lesung. Am 7. Juli stimmte das Parlament mit knapper Mehrheit (331 zu 304) für ein Eilverfahren – am letzten Sitzungstag vor der Sommerpause. Und am 9. Juli dann die entscheidende Abstimmung: 314 Abgeordnete stimmten gegen die Chatkontrolle, 276 dafür. Eine Mehrheit dagegen.
Beschlossen ist sie trotzdem. Denn in der zweiten Lesung reicht keine einfache Mehrheit, um einen Ratstext abzulehnen – es braucht eine absolute Mehrheit von 361 Stimmen. Die kam nicht zustande. Ein Gesetz, das eine Mehrheit des Parlaments dreimal nicht wollte, gilt damit als angenommen.
Das darf man erst mal sacken lassen.
Was drinsteht – und was nicht
Jetzt der Teil, der in vielen Schlagzeilen untergeht. Beschlossen wurde die Verlängerung der freiwilligen Chatkontrolle, voraussichtlich bis April 2028. Das heißt konkret:
Anbieter dürfen unverschlüsselte Inhalte automatisiert auf bekanntes Missbrauchsmaterial scannen. Sie müssen nicht. Betroffen sind E-Mail-Dienste, Cloud-Speicher und alles, was ohne durchgehende Verschlüsselung läuft – also im Wesentlichen die Dienste der großen US-Plattformen, die genau das ohnehin schon getan haben.
Und: Ende-zu-Ende-verschlüsselte Kommunikation ist ausdrücklich ausgenommen. Das Parlament hat diesen Schutzwall in zwei Änderungsanträgen mit 369 beziehungsweise 362 Stimmen durchgesetzt – bemerkenswert deutlich, verglichen mit dem Rest der Abstimmung.
Für Signal ändert sich damit: nichts. Signal hat nie gescannt, wird nicht scannen – und könnte deine Nachrichten selbst dann nicht lesen, wenn jemand es verlangen würde. Genau dafür ist die Architektur gebaut. Ausführlicher haben wir das in Ist der Signal-Messenger gefährdet? eingeordnet.
Chatkontrolle und Signal: Warum Open Source jetzt den Unterschied macht
In vielen Berichten steht sinngemäß: „Verschlüsselte Messenger wie Signal oder WhatsApp sind ausgenommen." Als wäre das dieselbe Kategorie. Ist es nicht.
WhatsApp ist Closed Source. Meta sagt dir, dass deine Nachrichten Ende-zu-Ende verschlüsselt sind – und du musst es glauben. Was die App sonst noch tut, welche Metadaten sie sammelt, was mit Backups passiert, ob und wann sich das ändert: nicht überprüfbar. Du bekommst ein Versprechen.
Signal ist Open Source. Das Protokoll ist dokumentiert, der Code liegt offen, unabhängige Kryptografen prüfen ihn seit Jahren. Du bekommst kein Versprechen, sondern ein überprüfbares Werkzeug. Den Unterschied kannst du selbst nicht nachrechnen? Musst du auch nicht – es reicht, dass es jeder kann. Genau das hält den Anbieter ehrlich.
Zieht Signal sich aus Europa zurück?
Meredith Whittaker, Präsidentin der Signal-Stiftung, hatte im vergangenen Herbst angekündigt, im Zweifel eher „die Entscheidung treffen, den Markt zu verlassen", als die Verschlüsselung zu untergraben. Daraus wurde in manchen Timelines: „Signal zieht seine Server aus der EU ab."
Beides stimmt so nicht. Es ging nie um Serverstandorte, sondern um einen kompletten Rückzug vom europäischen Markt – und zwar nur für den Fall, dass Signal gesetzlich gezwungen würde, eine Hintertür einzubauen. Dieser Fall ist nicht eingetreten. Der beschlossene Text enthält keine Scan-Pflicht und nimmt Verschlüsselung explizit aus. Signal bleibt, die App funktioniert heute exakt so wie letzte Woche.
Der eigentliche Kampf beginnt im September
Warum ich das Thema trotzdem nicht abhake: Parallel zur Übergangsregelung wird über die dauerhafte Verordnung verhandelt – Chatkontrolle 2.0, offiziell CSA-Verordnung. Dort geht es um die Frage, ob Anbieter zum Scannen verpflichtet werden können, notfalls per Client-Side-Scanning: Software, die deine Nachrichten direkt auf deinem Gerät mitliest, bevor sie verschlüsselt werden.
Der entscheidende Trilog am 29. Juni ist genau an diesem Punkt gescheitert. Der Rat will freiwilliges Scannen in möglichst großer Breite, das Parlament akzeptiert höchstens gezielte Anordnungen bei begründetem Verdacht, richterlich genehmigt, als letztes Mittel. Im September wird weiterverhandelt.
Und hier schließt sich der Kreis: Gegen Client-Side-Scanning hilft keine Verschlüsselung und kein VPN – die Nachricht wird ja gelesen, bevor sie dein Gerät verlässt. Der einzige strukturelle Schutz ist die Kontrolle über das Gerät selbst. Ein Betriebssystem, das dir gehört, nicht dem Hersteller.
Was du jetzt tun kannst – ohne Panik
Zuerst das Wichtigste: Panik ist kein Sicherheitskonzept. Wer jetzt hektisch fünf neue Apps installiert, fühlt sich sicher, ohne es zu sein. Überleg dir zuerst, wovor du dich eigentlich schützen willst – dann wähl die Werkzeuge. (Wer bei „ich habe doch nichts zu verbergen" innerlich nickt, findet hier die passende Antwort.)
Signal weiter nutzen. Es gibt keinen Grund zu wechseln. Wenn du magst, richte in den Einstellungen unter Privatsphäre einen Benutzernamen ein, dann musst du deine Telefonnummer nicht mehr herausgeben.
SimpleX kennenlernen. SimpleX Chat verlangt weder Nummer noch E-Mail noch irgendeine Kennung – nicht einmal die Server wissen, wer mit wem spricht. Keine Pflicht, aber ein interessantes Experiment, wenn du verstehen willst, wie Kommunikation ganz ohne Identifikatoren funktioniert.
Das Gerät zurückerobern. Falls Client-Side-Scanning je kommt, entscheidet sich alles auf Betriebssystem-Ebene. GrapheneOS – ein entgoogeltes, gehärtetes Android – ist die konsequenteste Antwort darauf. Wie der Umstieg praktisch geht, zeige ich regelmäßig im Handy-Workshop in München.
Politisch dranbleiben. Der Widerstand gegen die Chatkontrolle hat sie fast gestoppt – dreimal. Initiativen wie fightchatcontrol.eu begleiten die Verhandlungen im Herbst weiter.
Die Chatkontrolle ist kein Grund, kopflos die Werkzeuge zu wechseln. Sie ist ein Anlass, sich ehrlich zu fragen, wessen Versprechen man vertraut – und welche man überprüfen kann. Im September wird weiterverhandelt. Gute Werkzeuge wechselt man nicht in Panik, sondern solange man noch in Ruhe wählen kann.
Deine Daten, deine Regeln
Vom Messenger über E-Mail und Browser bis zum entgoogelten Smartphone: Unser Privacy-Leitfaden führt dich Schritt für Schritt durch alles, was du brauchst, um deine Kommunikation wieder selbst in der Hand zu haben – ganz ohne Panik.
Berater für Informationssicherheit · Bitcoinlighthouse
Seit 2021 helfe ich Menschen dabei, sich durch Open-Source-Lösungen wie Bitcoin, Linux und GrapheneOS unabhängiger zu machen und digitale Sicherheit sowie Souveränität zu erlangen.
Verwandte Beiträge

BGH-Urteil: Ermittler dürfen Smartphones per Fingerabdruck zwangsentsperren
Seit dem BGH-Urteil vom März 2025 ist klar: Behörden können deinen Fingerabdruck zur Handy-Entsperrung erzwingen. Wie du dein Gerät jetzt schützt und welche Rechte du hast. Kernentscheidung des BGH Der

DAC8 vor Gericht: Bull Bitcoin klagt gegen die EU-Krypto-Überwachung
Die Krypto-Börse Bull Bitcoin hat vor dem französischen Conseil d'État Klage gegen DAC8 eingereicht – die EU-Richtlinie, die seit 2026 jeden Krypto-Nutzer meldepflichtig macht. Was die Klage bewirken soll, warum die Massenerfassung ein Sicherheitsrisiko ist – und wie du sie unterstützen kannst.

Google Maps auf GrapheneOS nutzen – so geht’s datenschutzfreundlich
Ja, Google Maps läuft auf GrapheneOS. Nein, das bedeutet nicht, dass ihr euer Datenschutzkonzept gleich komplett über Bord werfen müsst. Mit ein bisschen Aufwand lässt sich Google Maps so einrichten,


