Von Sabine Renner, Redaktion News
Zuletzt aktualisiert: 6. Mai 2026
Lesezeit: 8 Minuten
Seit dem 4. Mai 2026 laufen sie wieder: die Trilog-Verhandlungen zur Chat Control Regulation, kurz CSAR, im Europäischen Parlament in Brüssel. EU-Kommission, EU-Rat und EU-Parlament sitzen seit drei Jahren an einer Verordnung, die Anbieter von Kommunikationsdiensten zur automatisierten Erkennung von Material des sexuellen Missbrauchs von Kindern (CSAM) verpflichten soll — und scheitern bisher daran, einen Kompromiss zu finden, der für alle drei Institutionen tragfähig wäre. Der aktuelle Trilog könnte das ändern. Beobachter aus der Brüsseler Tech-Politik erwarten einen Abschluss noch unter polnischer Ratspräsidentschaft im Juli, möglicherweise schon im Juni.
Was bei der Verhandlung wirklich auf dem Tisch liegt, ist in der öffentlichen Diskussion oft unklar geblieben. Die drei beteiligten Institutionen vertreten teils diametral entgegengesetzte Positionen, und der finale Text wird mit hoher Wahrscheinlichkeit ein politischer Kompromiss zwischen mehreren grundlegend unterschiedlichen Vorstellungen darüber, wie der Schutz von Kindern und der Schutz privater Kommunikation gegeneinander abgewogen werden sollen.
Die Position der EU-Kommission
Die EU-Kommission hat den ursprünglichen Verordnungsentwurf im Mai 2022 unter Kommissarin Ylva Johansson eingebracht. Die Position war damals klar: Anbieter sollen verpflichtet werden, eingehende und ausgehende Kommunikation auf bekannte CSAM-Hashes zu scannen, und zwar auch dann, wenn die Kommunikation Ende-zu-Ende-verschlüsselt ist. In der Praxis hätte das clientseitiges Scanning auf den Endgeräten der Nutzer bedeutet — also einen Eingriff vor der Verschlüsselung.
Die ursprüngliche Position hat sich in den letzten Jahren leicht abgeschwächt. Die Kommission hat im Sommer 2025 angedeutet, dass sie eine „differenzierte Risikobewertung“ pro Anbieter akzeptieren würde, was kleineren Diensten und reinen Mail-Anbietern teilweise entgegenkommt. Verbindliche Aufdeckungs-Mechanismen für Hochrisiko-Anbieter (typischerweise: Plattformen mit User-Generated-Content und vielen minderjährigen Nutzern) sind aber weiterhin Teil der Kommissions-Position.
Die Position des EU-Rats
Der Rat hat unter wechselnden Präsidentschaften unterschiedliche Positionen vertreten. Die belgische Ratspräsidentschaft 2024 hat einen Kompromiss-Vorschlag vorgelegt, der zwischen Kommissions- und Parlaments-Position liegt. Die ungarische Ratspräsidentschaft im zweiten Halbjahr 2024 hat das Thema weitgehend liegen lassen. Die dänische Ratspräsidentschaft hat Ende 2025 einen weiteren Anlauf gestartet — und unter polnischer Präsidentschaft seit Januar 2026 läuft jetzt der finale Versuch.
Die aktuelle Ratsposition sieht eine „Risiko-basierte Detektions-Verpflichtung“ vor. Anbieter sollen jährlich eine Selbstbewertung ihres CSAM-Risikos abgeben. Nationale Behörden können bei festgestelltem „signifikantem Risiko“ eine verpflichtende Detektions-Anordnung aussprechen. Was als „signifikantes Risiko“ gilt, ist im aktuellen Entwurf unscharf formuliert und bietet damit nationalen Behörden weitgehende Auslegungsspielräume — was Kritiker als rechtlich problematisch bewerten.
Die Position des EU-Parlaments
Das Parlament hat sich am 22. November 2023 mit großer Mehrheit auf eine deutlich restriktivere Position geeinigt. Berichterstatterin Birgit Sippel (SPD/S&D) hat zwei Kernlinien etabliert: Erstens darf Ende-zu-Ende-Verschlüsselung „unter keinen Umständen“ untergraben werden. Zweitens soll Detektion nur auf „öffentlich zugänglichen Inhalten“ stattfinden — also nicht in privaten Messengern oder E-Mail-Postfächern.
Diese Position ist im Trilog die schwerste Hürde. Wenn das Parlament an seinen beiden Kernlinien festhält, kann der Trilog nur dann erfolgreich enden, wenn Kommission und Rat ihre Forderungen nach verbindlicher Detektion in privaten Kommunikationskanälen aufgeben. Beobachter aus Brüssel rechnen damit, dass das Parlament unter politischem Druck einzelne Punkte aufweicht — die roten Linien aber bestehen bleiben.
Was bedeutet das für E-Mail-Anbieter?
Die direkte Wirkung der CSAR-Verordnung auf E-Mail-Anbieter hängt vom finalen Text ab. Sollte die Council-Position sich durchsetzen, wären alle in der EU operierenden Mailanbieter potenziell betroffen. Bei der Parlaments-Position wären E-Mail-Anbieter weitgehend ausgenommen, weil E-Mail strukturell als private Kommunikation gilt.
Anbieter haben in den letzten Monaten unterschiedlich reagiert. Signal-Präsidentin Meredith Whittaker hat in einem öffentlich gewordenen Brief vom Februar 2026 angekündigt, dass die Signal Foundation den EU-Markt verlassen würde, sollte verbindliches clientseitiges Scanning kommen. Proton Mail hat in einer Stellungnahme vom März 2026 ähnliche Schritte angedeutet, ohne sie konkret zu beziffern. Tuta Mail (Hannover) und Mailbox.org (Berlin) haben sich gegen Verschlüsselungs-Schwächungen ausgesprochen, ohne aber konkrete Markt-Rückzüge zu drohen — was bei deutschen Anbietern auch organisatorisch schwer umsetzbar wäre.
Eine andere Strategie verfolgen Anbieter mit Sitz außerhalb der EU. Der norwegische Privacy-Dienst privacy.fish hat in seinem Frequently-Asked-Questions-Bereich klargestellt, dass norwegisches Recht von der CSAR-Verordnung nicht direkt erfasst wird, weil Norwegen zwar EWR-Mitglied, aber nicht EU-Mitglied ist. Eine ähnliche Position vertreten Proton (Schweiz) und der weniger bekannte britische Dienst Tutanota-Spinoff Hushmail (Kanada).
Für deutsche Nutzer bedeutet das: Wer sensitive Kommunikation führt, sollte sich nicht ausschließlich auf einen EU-Anbieter verlassen, sondern strategisch mit einem Backup-Anbieter außerhalb der EU arbeiten. Diese Empfehlung wird in einem Positionspapier des Chaos Computer Club vom April 2026 explizit ausgesprochen.
Die politische Dynamik
Was den aktuellen Trilog von früheren Anläufen unterscheidet, ist die veränderte politische Konstellation. Die polnische Ratspräsidentschaft unter Premier Donald Tusk hat klar gemacht, dass sie einen Abschluss vor der österreichischen Übernahme im zweiten Halbjahr 2026 anstrebt. Polen positioniert sich als pragmatischer Vermittler — was bedeutet, dass es weniger ideologische Hürden gibt als unter der ungarischen Vorgänger-Präsidentschaft.
Die deutsche Position innerhalb des Rates hat sich nach dem Regierungswechsel 2025 leicht verändert. Die aktuelle Koalition aus CDU und SPD hat im Koalitionsvertrag festgehalten, „anlasslose Massenüberwachung privater Kommunikation abzulehnen“ — was als Position gegen die Kommissions-Forderung gelesen werden kann. Gleichzeitig hat Innenministerin Nancy Faeser in mehreren Bundestagsdebatten die Notwendigkeit einer „europäischen Lösung“ mit „klaren Schutzmechanismen“ betont. Wie sich diese Positionen im Rat genau ausdrücken, wird im Verlauf der Verhandlungen sichtbar.
Was Nutzer jetzt wissen sollten
Für Nutzer in Deutschland ändert sich kurzfristig nichts. Die ePrivacy-Verordnung 2021/1232, die freiwilliges CSAM-Scanning durch Microsoft, Google und Meta erlaubt hatte, ist am 3. April 2026 ausgelaufen. Eine neue Verordnung wird frühestens im Sommer 2026 verabschiedet, und auch dann gilt eine Übergangsfrist von typischerweise 18 bis 24 Monaten, bevor die ersten konkreten Verpflichtungen wirksam würden.
Wer 2026 strategisch denkt, sollte trotzdem nicht warten, sondern jetzt die eigene Kommunikations-Infrastruktur prüfen. Drei Empfehlungen:
Erstens: Mehrere Kommunikations-Kanäle parallel betreiben. Ein Hauptpostfach für die alltägliche Kommunikation, ein Backup-Postfach bei einem Anbieter außerhalb der EU für sensitive Korrespondenz.
Zweitens: Lokale Verschlüsselung lernen. Wer OpenPGP für sich beherrscht, ist von der Anbieter-Politik weitgehend unabhängig.
Drittens: Die politische Entwicklung mitverfolgen. Die nächsten zwei bis drei Monate werden über die Form der CSAR-Verordnung entscheiden — und damit über die mittelfristige Landschaft privater Kommunikation in der EU.
Ausblick
Es ist gut möglich, dass der Trilog im Sommer 2026 mit einem Kompromiss endet, der weder die Kommissions-Forderungen voll erfüllt noch die Parlaments-Linien komplett bewahrt. Was am wahrscheinlichsten ist: Eine Verordnung mit verbindlicher Risikobewertung für alle Anbieter, freiwilliger Detektion in den meisten Fällen, und verbindlicher Detektion nur bei nachweisbar hohem Risiko — typischerweise also bei Plattformen mit User-Generated-Content und vielen minderjährigen Nutzern.
E-Mail-Anbieter würden bei diesem Kompromiss-Szenario weitgehend ausgenommen bleiben. Klassische Messenger wie Signal, WhatsApp und Telegram könnten betroffen sein, je nachdem wie die Risikobewertung in der Praxis durchgeführt wird. Für die meisten europäischen Nutzer würde sich an der Bedienoberfläche zunächst wenig ändern.
Trotzdem ist die symbolische Wirkung der CSAR-Verordnung erheblich. Die EU bewegt sich politisch in einer Richtung, die — je nach Auslegung — strukturelle Eingriffe in private Kommunikation legitimiert. Wer das langfristig verfolgt, sollte sich nicht von einer „harmlosen“ finalen Verordnung beruhigen lassen, sondern die Entwicklung als Signal lesen. Die nächsten Verordnungen werden kommen, und sie werden sich auf die Präzedenz dieser ersten beziehen.
Quellen:
– Trilog-Eröffnung am 04.05.2026, Pressemitteilung EU-Parlament
– EU-Kommissions-Entwurf zur CSAR-Verordnung vom 11.05.2022
– EU-Parlamentsposition vom 22.11.2023, Berichterstatterin Birgit Sippel
– Dänische Ratspräsidentschaft, Kompromiss-Papier vom Dezember 2025
– Chaos Computer Club, Positionspapier zur CSAR-Verordnung, April 2026
