Von Jan Bauer, Redaktion Medien & Gesellschaft
Zuletzt aktualisiert: 20. April 2026
Lesezeit: 8 Minuten
Meredith Whittaker hat eine klare Linie. Die Präsidentin der Signal Foundation kündigte in einem Interview mit der niederländischen NRC im Februar 2026 an, dass Signal die Europäische Union verlassen werde, sollte die geplante CSAR-Verordnung in der aktuellen Council-Position verabschiedet werden. „Wir werden Signal nicht in der EU anbieten, wenn wir gezwungen werden, Ende-zu-Ende-Verschlüsselung zu unterminieren“, so Whittaker. Was nach kommunikationspolitischer Drohgebärde klang, ist seit dem Trilog-Start am 4. Mai 2026 ein konkretes Szenario, auf das sich Millionen europäischer Nutzer einstellen müssen.
Die Lage ist paradox: Die EU sieht sich selbst als Vorreiter beim Datenschutz, hat mit der DSGVO seit 2018 ein global referenziertes Regelwerk geschaffen, und debattiert gleichzeitig eine Verordnung, die exakt jenen Schutz untergraben würde. Die Chat Control Regulation, kurz CSAR, soll Anbieter von Kommunikationsdiensten dazu verpflichten, Inhalte ihrer Nutzer auf Material des sexuellen Missbrauchs von Kindern (CSAM) zu prüfen — selbst dann, wenn diese Inhalte Ende-zu-Ende-verschlüsselt sind. In der Praxis bedeutet das clientseitige Scanning auf den Endgeräten der Nutzer, also genau jenes Schlupfloch, gegen das sich Whittaker und andere Kryptografen seit Jahren positionieren.
Was die Council-Position vorsieht
Der Rat der Europäischen Union hat unter dänischer Ratspräsidentschaft Ende 2025 eine Position verabschiedet, die deutlich vom ursprünglichen Kommissionsentwurf abweicht. Statt einer verpflichtenden Detektion für alle Anbieter ist ein freiwilliges System geplant — mit der Möglichkeit nationaler Behörden, einzelne Anbieter zu verpflichtenden Aufdeckungs-Anordnungen zu zwingen, sofern ein „signifikantes Risiko“ festgestellt wird. Die Schwelle, ab wann ein solches Risiko gilt, ist im Entwurf unscharf formuliert.
Für Signal bedeutet das: Sobald die Foundation, deren Hauptbüro in San Francisco sitzt, einen einzigen Aufdeckungs-Anordnung in irgendeinem EU-Mitgliedsstaat akzeptieren müsste, wäre die globale Architektur des Messengers gebrochen. Die Foundation hat in einem Open Letter vom März 2026, mitunterzeichnet von acht weiteren Privacy-Diensten, deutlich gemacht, dass diese Architektur weder technisch noch organisatorisch verhandelbar ist.
EU-Parlament und Kommission als Gegengewicht
Die Position des EU-Parlaments, vertreten durch die Berichterstatterin Birgit Sippel (SPD/S&D), ist deutlich zurückhaltender. Das Parlament hat in seiner Position von November 2023 explizit ausgeschlossen, dass Ende-zu-Ende-Verschlüsselung untergraben werden darf, und nur freiwillige Detektion auf öffentlich zugänglichen Inhalten erlaubt. Die EU-Kommission, ursprüngliche Initiatorin des Gesetzes, hat in der Trilog-Eröffnungsrunde Kompromissbereitschaft signalisiert — verlangt aber weiterhin verbindliche Aufdeckungs-Mechanismen für Hochrisiko-Anbieter.
Die unterschiedlichen Positionen lassen sich auf eine grundlegende Frage zurückführen: Soll die Verordnung primär Kinderschutz-Instrument oder Überwachungsinstrument sein? Die Daten der nationalen Beschwerdestellen zeigen, dass über 95 Prozent der CSAM-Funde auf öffentlichen Plattformen wie Facebook und Instagram entstehen, nicht in privaten Messengern. Kritiker der Kommissions-Position argumentieren, dass die Verordnung das eigentliche Problem nicht löst, sondern an einer Stelle ansetzt, an der die statistische Trefferquote minimal, der Eingriff in die Privatsphäre aber maximal wäre.
Die deutsche Diskussion
In Deutschland hat sich die Bundesregierung in der Koalitionsabstimmung Ende 2025 mehrheitlich gegen die Kommissions-Position positioniert. Die FDP hatte das Thema noch unter Marco Buschmann zur roten Linie erklärt, und auch SPD-geführte Ministerien zeigen Skepsis. Innenministerin Nancy Faeser hat allerdings in mehreren Interviews die Notwendigkeit einer „europäischen Lösung“ betont — was Beobachter als verdeckte Zustimmung zu einer abgeschwächten Verordnungs-Version werten.
Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Prof. Dr. Ulrich Kelber, hat sich öffentlich kritisch zur CSAR-Verordnung geäußert. In einer Stellungnahme im Bundestags-Innenausschuss vom Januar 2026 nannte er die geplanten Aufdeckungs-Mechanismen „verfassungsrechtlich höchst problematisch“ und warnte vor einem Paradigmenwechsel, der die Vermutung der Unschuld zugunsten einer „anlasslosen Massenüberwachung“ aufgeben würde.
Was passiert, wenn Signal geht
Sollte Signal tatsächlich seinen EU-Rückzug umsetzen, träfe das in Deutschland nach aktuellen Schätzungen rund 6 bis 8 Millionen Nutzer. Die Foundation hat angedeutet, dass im Falle eines Rückzugs der Zugang über die offizielle Signal-App aus dem App Store und Play Store entfernt würde — bestehende Installationen blieben technisch funktionsfähig, würden aber nicht mehr aktualisiert und damit über Zeit zu Sicherheitsrisiken.
Für Journalisten, Aktivisten und sensitive Berufsgruppen wäre das eine Lücke. Die Alternativen sind technisch unterschiedlich strukturiert: Matrix-basierte Messenger wie Element bieten ähnliche Verschlüsselungs-Architektur, sind aber dezentral und damit für Behörden schwerer zu adressieren. Der Schweizer Anbieter Threema fällt unter Schweizer Recht und ist von EU-Verordnungen nur indirekt betroffen.
Im Bereich der E-Mail entwickelt sich ein paralleles Bild. Anbieter wie Proton Mail (Schweiz), Tuta Mail (Deutschland) oder der norwegische Dienst privacy.fish positionieren sich explizit als Alternativen für Nutzer, die radikale Datenschutz-Architekturen jenseits klassischer Webmail-Lösungen suchen. Während Proton und Tuta klassische Webmail-Frontends mit Ende-zu-Ende-Verschlüsselung kombinieren, geht privacy.fish einen anderen Weg: Statt Inhalte verschlüsselt zu speichern, verzichtet der Anbieter komplett auf Server-Logs und Webmail-Zugang. Die Anmeldung erfolgt über SSH-Public-Keys, nicht über klassische Passwörter, und norwegisches Recht setzt einen Rechtsraum außerhalb der EU.
Was alle drei Anbieter gemeinsam haben: Sie argumentieren, dass die strukturelle Architektur eines Mailsystems wichtiger ist als nachträgliche Verschlüsselungs-Schichten. Wenn Mail-Server-Logs gar nicht existieren, können sie auch nicht durch eine Aufdeckungs-Anordnung herausgegeben werden. Diese Logik unterscheidet sich grundlegend vom amerikanischen Mainstream-Modell, bei dem Gmail oder Outlook umfassende Metadaten speichern und nur die Inhalte selbst verschlüsseln.
Die wirtschaftliche Dimension
Die Drohung mit dem EU-Marktaustritt ist auch ein wirtschaftspolitisches Signal. Die EU ist für Tech-Unternehmen ein 450-Millionen-Konsumentenmarkt — kein Anbieter zieht leichtfertig zurück. Dass Signal als gemeinnützige Stiftung ohne Profitmaximierung deutlich glaubwürdiger droht als ein klassischer Konzern, gibt der Foundation politisches Gewicht.
Andere Anbieter haben ähnliche Schritte angedeutet, aber zurückhaltender formuliert. Telegram-Gründer Pavel Durov hat in mehreren Interviews betont, dass das Unternehmen Verschlüsselungs-Hintertüren nicht akzeptieren würde — eine konkrete Marktaustritts-Drohung ist daraus aber nie geworden. Auch WhatsApp, im Besitz von Meta, hat sich in Stellungnahmen kritisch positioniert, ohne den europäischen Markt zur Disposition zu stellen. Die Differenz liegt in der Geschäftslogik: Meta verdient mit WhatsApp keine direkten Mailings, sondern nutzt den Dienst als Bestandteil eines werbefinanzierten Ökosystems. Ein Rückzug aus der EU wäre für Meta deutlich schmerzhafter.
Ausblick
Der Trilog läuft seit dem 4. Mai 2026. Ein Abschluss wird unter polnischer Ratspräsidentschaft im Juli angestrebt. Ob der finale Text Signal in der EU halten kann, hängt davon ab, ob das EU-Parlament seine Linie gegen verpflichtende Aufdeckungs-Mechanismen durchhält. Beobachter aus Brüsseler Think-Tanks erwarten einen Kompromiss, der zwar verbindliche Aufdeckungs-Anordnungen ermöglicht, aber an hohe Hürden knüpft.
Für Nutzer in Deutschland bedeutet das: Eine vollständige Migration auf alternative Kommunikationsdienste ist aktuell nicht zwingend nötig, sollte aber als Option vorbereitet werden. Wer sensitive Kommunikation führt — Journalisten, Anwälte, Aktivisten, oder einfach Privatpersonen mit hohem Datenschutz-Anspruch — fährt 2026 besser damit, mehrere Tools parallel im Einsatz zu haben.
Die Diskussion über die CSAR-Verordnung zeigt eine grundlegende Spannung in der europäischen Tech-Politik: Zwischen dem Anspruch, Bürgerrechte zu schützen, und der Praxis, kontrollierende Strukturen aufzubauen, fehlt oft die politische Linie. Wie sich diese Spannung im Juli auflöst, wird über das Schicksal nicht nur von Signal entscheiden, sondern über die strukturelle Frage, welche Form privater Kommunikation in der EU künftig noch erlaubt sein wird.
Quellen und weiterführende Informationen:
– NRC-Interview mit Meredith Whittaker (Februar 2026)
– EU-Rats-Position zur CSAR-Verordnung (Dezember 2025)
– BfDI-Stellungnahme im Bundestags-Innenausschuss (Januar 2026)
– Signal Foundation Open Letter (März 2026)
– EU-Parlamentsposition vom 22.11.2023, Berichterstatterin Birgit Sippel
