
Inhaltsübersicht
Worum es bei der Chatkontrolle eigentlich geht
Als „Chatkontrolle“ bezeichnen Kritiker ein EU-Gesetzesvorhaben, das offiziell „Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“ heißt, kurz CSA-Verordnung. Ursprünglicher Kommissionsentwurf aus Mai 2022: Anbieter von Messengern, E-Mail-Diensten und anderen Kommunikationsplattformen sollen private Nachrichten automatisiert nach bekannten und neuen Missbrauchsdarstellungen sowie nach sogenanntem Grooming durchsuchen, technisch unabhängig davon, ob die Kommunikation Ende-zu-Ende-verschlüsselt ist oder nicht.
Wichtig für die Einordnung: Zwei Dinge werden in der Berichterstattung oft vermischt. Zum einen die dauerhafte, verpflichtende CSA-Verordnung, über die Parlament, Rat und Kommission seit Jahren im sogenannten Trilog verhandeln, ohne bislang eine endgültige Einigung. Zum anderen die freiwillige Übergangsregelung, die es Anbietern wie Meta, Microsoft oder Google seit 2021 erlaubt, auf eigene Initiative nach bekannten Missbrauchsinhalten zu scannen. Am 9. Juli 2026 hat das EU-Parlament genau diese freiwillige Regelung bis April 2028 verlängert, nach einem ungewöhnlichen Verfahren mit besonderer Mehrheitsschwelle. Eine verpflichtende Scan-Pflicht für alle Anbieter und alle Chats ist damit noch nicht beschlossen, die Verhandlungen zur dauerhaften Verordnung laufen parallel weiter.
Warum das Thema auch für den Mittelstand relevant ist
Auf den ersten Blick klingt Chatkontrolle nach einem reinen Verbraucherthema. Tatsächlich betrifft der Streit aber genau die Kommunikationswege, über die auch kleine und mittlere Unternehmen täglich mit Kunden, Lieferanten, Mitarbeitenden und Behörden kommunizieren, WhatsApp Business, E-Mail, Cloud-Speicher und andere Messenger eingeschlossen. Der Bundesverband der Mittelstand (BVMW) hat sich deshalb bereits ausdrücklich gegen die Pläne positioniert und warnt, dass im Extremfall jede vertrauliche elektronische Kommunikation in Europa erschwert würde.
Berührungspunkte und Nachteile für Gewerbetreibende
Konkret lassen sich mehrere Risikofelder benennen, die für Unternehmen relevant sind, unabhängig davon, ob die dauerhafte Verordnung am Ende in verschärfter oder abgeschwächter Form kommt.
- Vertraulichkeit der Geschäftskommunikation: Kommunikation mit Kunden, Geschäftspartnern und Mitarbeitenden wäre nicht mehr uneingeschränkt vertraulich, sobald ein Anbieter zur Durchsuchung von Inhalten verpflichtet wäre oder freiwillig scannt.
- Geschäftsgeheimnisse: Interne Absprachen, Kalkulationen, Produktentwicklungen oder Vertragsverhandlungen, die per Chat oder E-Mail laufen, könnten im Rahmen automatisierter Scans potenziell in falsche Hände geraten, ein Risiko, das der Mittelstand als besonders gravierend einstuft.
- Berufsgeheimnisträger: Steuerberater, Rechtsanwälte, Notare und Ärzte, die eng mit Gewerbetreibenden zusammenarbeiten, unterliegen einer besonderen Schweigepflicht. Der Deutsche Anwaltverein mahnt seit Jahren einen expliziten Schutz für Berufsgeheimnisträger und eine Pflicht zur richterlichen Anordnung vor jedem Zugriff an, in früheren Entwürfen fehlte eine solche Ausnahme.
- IT-Sicherheitsrisiko durch Hintertüren: Um verschlüsselte Chats durchsuchbar zu machen, bräuchte es entweder geschwächte Verschlüsselung oder Client-Side-Scanning direkt auf dem Endgerät. Beides schafft laut IT-Sicherheitsexperten neue Einfallstore, die auch von Cyberkriminellen oder ausländischen Nachrichtendiensten genutzt werden könnten, ein direktes Risiko für Firmenhandys und -laptops.
- Mögliche Anbieterabwanderung: Einige Messenger-Dienste, darunter WhatsApp und Threema, haben für den Fall einer verpflichtenden Chatkontrolle bereits einen Rückzug aus dem EU-Markt angekündigt, statt ihre Verschlüsselung zu schwächen. Für Unternehmen, die diese Dienste für Kundenkontakt nutzen, wäre das ein handfestes betriebliches Problem.
- Fehlalarme: KI-gestützte Scansysteme gelten als fehleranfällig, harmlose Inhalte, etwa Produktfotos oder private Urlaubsbilder auf Geschäftsgeräten, könnten fälschlich markiert werden. Die Folge wären Meldungen an Behörden und im schlimmsten Fall Rufschäden, obwohl nichts Illegales vorlag.
- Planungsunsicherheit: Solange die dauerhafte Verordnung ungeklärt ist, lässt sich schwer abschätzen, welche Kommunikationsinfrastruktur langfristig rechtssicher bleibt, eine ungünstige Ausgangslage für Investitionsentscheidungen in IT und Compliance.
Aktueller Stand: Juli 2026
Die freiwillige Scan-Erlaubnis für Anbieter ist bis April 2028 verlängert, eine verpflichtende Scan-Pflicht für alle Dienste gibt es bislang nicht. In den aktuellen Entwürfen zur dauerhaften CSA-Verordnung ist die Pflicht zum Client-Side-Scanning nach jetzigem Stand gestrichen, das EU-Parlament drängt zusätzlich darauf, Ende-zu-Ende-verschlüsselte Kommunikation grundsätzlich vom Anwendungsbereich auszunehmen. Entschieden ist damit noch nichts Endgültiges, die Verhandlungen zwischen Parlament, Rat und Kommission laufen weiter.
Was Unternehmen jetzt tun können
Akuten Handlungsbedarf gibt es aktuell nicht, da keine verpflichtende Scan-Pflicht in Kraft ist. Sinnvoll ist trotzdem, die eigene Kommunikationsinfrastruktur mit Blick auf Vertraulichkeit zu überprüfen, insbesondere den Austausch mit Steuerberatung, Rechtsberatung und sensiblen Kundendaten. Wer ohnehin auf Messenger mit echter Ende-zu-Ende-Verschlüsselung setzt, ist von den meisten diskutierten Szenarien tendenziell weniger betroffen als Nutzer unverschlüsselter Kanäle. Wirtschaftsverbände wie der BVMW nehmen zudem regelmäßig Stellung zu den Verhandlungen, ihre Positionspapiere lohnen sich für Unternehmen als Frühwarnsystem, bevor eine Entscheidung tatsächlich verbindlich wird.
Häufige Fragen zur Chatkontrolle für Unternehmen
Ist die Chatkontrolle für Unternehmen schon verpflichtend?
Nein. Stand Juli 2026 ist die freiwillige Scan-Erlaubnis für Anbieter bis 2028 verlängert, eine verpflichtende Scan-Pflicht für alle Dienste ist nicht in Kraft.
Was ist das größte Risiko für Gewerbetreibende bei der Chatkontrolle?
Vor allem die mögliche Gefährdung von Geschäftsgeheimnissen und vertraulicher Kommunikation mit Kunden, Partnern und Berufsgeheimnisträgern wie Steuerberatern oder Anwälten.
Sind Steuerberater und Anwälte von der Chatkontrolle besonders betroffen?
Ja, Berufsgeheimnisträger gelten als besonders sensibler Bereich, der Deutsche Anwaltverein fordert deshalb ausdrücklichen Schutz und eine Pflicht zur richterlichen Anordnung.
Könnten WhatsApp oder andere Messenger aus der EU verschwinden?
Einige Anbieter, darunter WhatsApp und Threema, haben für den Fall einer verpflichtenden Chatkontrolle einen Rückzug aus dem EU-Markt angekündigt, statt ihre Verschlüsselung zu schwächen.
Was können Unternehmen jetzt konkret tun?
Die eigene Kommunikationsinfrastruktur auf Vertraulichkeit prüfen, auf Ende-zu-Ende-verschlüsselte Dienste setzen und die weiteren Verhandlungen sowie Stellungnahmen von Wirtschaftsverbänden wie dem BVMW verfolgen.





