Die Europäische Union bereitet ein Gesetz vor, das Technologieunternehmen dazu zwingen würde, Hintertüren in Ende-zu-Ende-verschlüsselte Messaging-Apps einzubauen und die obligatorische Vorratsdatenspeicherung auf datenschutzorientierte Dienste in allen 27 Mitgliedstaaten auszuweiten. Die Initiative mit dem Namen ProtectEU wird von Experten für digitale Rechte als "Chatkontrolle 2.0" bezeichnet und könnte No-Log-Dienste in Europa bereits 2026 faktisch illegal machen.
Was ist ProtectEU?
ProtectEU ist die neue Strategie der EU zur inneren Sicherheit, die von der Europäischen Kommission am 1. April 2025 offiziell angenommen wurde (COM(2025) 148 final). Oberflächlich betrachtet versteht sie sich als Antwort auf wachsende Bedrohungen durch Terrorismus, organisierte Kriminalität und hybride Kriegsführung. Doch hinter den Kulissen verbirgt sich ein Plan, der laut Datenschutzaktivisten die Sicherheitsarchitektur, die Hunderte Millionen Europäer online schützt, grundlegend untergräbt.
Die Strategie weist die Kommission an, eine Technologie-Roadmap für Verschlüsselung zu entwickeln - einen technischen Blaupause, um Strafverfolgungsbehörden Zugang zu verschlüsselter Kommunikation zu gewähren, ohne dass die Dienstanbieter Klartext aushändigen müssen. Die Roadmap wird bis Ende 2025 erwartet, ein Gesetzesentwurf ist für Juni 2026 angekündigt.
Die Roadmap wird in enger Zusammenarbeit mit der Hochrangigen Gruppe (HLG) für den Zugang zu Daten für eine effektive Strafverfolgung entwickelt, einem intergouvernementalen Gremium, das seit langem das Konzept des "rechtmäßigen Zugangs durch Design" vertritt. Dies bedeutet, dass Zugangsmechanismen direkt auf Architekturebene in die Plattformen integriert werden, anstatt sie nachträglich hinzuzufügen. Kritiker argumentieren, dass dies funktionell mit einer Hintertür identisch ist, unabhängig von der verwendeten Terminologie.
Das Netzwerk European Digital Rights (EDRi) bezeichnete den Plan als "einen weiteren Schritt in Richtung einer digitalen dystopischen Zukunft" und warnte, dass jede technische Hintertür, die für den polizeilichen Zugang gebaut wird, unweigerlich auch von kriminellen Hackern und feindlichen Geheimdiensten ausgenutzt wird. ENISA, die eigene Cybersicherheitsagentur der EU, hat wiederholt davor gewarnt, dass die Schwächung der Verschlüsselung das Risiko erhöht, anstatt es zu verringern.
Obligatorische Datenspeicherung: Die stille Bedrohung
Neben der Verschlüsselungs-Roadmap sieht ProtectEU vor, den Rahmen für die Vorratsdatenspeicherung in der EU explizit auf Anbieter von verschlüsselten Kommunikationsdiensten auszuweiten, einschließlich solcher, die derzeit auf einer strikten No-Log-Basis arbeiten. Nach den aktuellen Vorschlägen könnten in Europa tätige Dienste verpflichtet werden, Verbindungsmetadaten wie Zeitstempel, Serververbindungen und möglicherweise Teilnehmeridentitäten zu protokollieren und diese Daten für den Zugriff der Strafverfolgungsbehörden auf Abruf bereitzuhalten.
Für europäische Nutzer, die sich auf datenschutzorientierte Dienste verlassen, weil diese Dienste überhaupt keine Daten sammeln, würde dies eine unlösbare Compliance-Herausforderung darstellen. Entweder müssten die Anbieter mit der Protokollierung beginnen - was ihr Kernversprechen zum Datenschutz zerstören würde - oder sich vollständig aus dem EU-Markt zurückziehen. Mehrere große Anbieter haben bereits signalisiert, dass sie im Falle eines solchen Gesetzes den Rückzug der Einhaltung vorziehen würden.
Warum Experten es "Chatkontrolle 2.0" nennen
Der Spitzname bezieht sich auf den vorherigen Versuch der EU, das clientseitige Scannen verschlüsselter Nachrichten vorzuschreiben - die sogenannte Chatkontrolle-Verordnung, die 2024 von den Mitgliedstaaten nach massiven Protesten von Bürgerrechtsorganisationen, Sicherheitsforschern und Technologieunternehmen gleichermaßen abgelehnt wurde. Kritiker argumentieren, dass ProtectEU lediglich die Chatkontrolle ist, verpackt in sanftere Sprache und mit einem verzögerten Zeitplan.
Das grundlegende kryptografische Problem bleibt unverändert: Es gibt keine Möglichkeit, eine Hintertür zu bauen, die nur von den Guten genutzt werden kann. Jede mathematische Schwachstelle, die für den polizeilichen Zugriff eingefügt wird, ist für den russischen Geheimdienst, chinesische Staatshacker und kriminelle Ransomware-Banden gleichermaßen zugänglich. Dies ist keine theoretische Sorge. Der Salt-Typhoon-Einbruch in die Abhörinfrastruktur von US-Telekommunikationsunternehmen im Jahr Jahr 2024 hat genau gezeigt, wie Hintertürmechanismen zu Einfallstoren für feindliche staatliche Akteure werden.
Die breitere gesetzliche Landschaft
ProtectEU existiert nicht isoliert. Auf der anderen Seite des Atlantiks debattieren US-Gesetzgeber über ähnliche Maßnahmen zur Ausweitung der Überwachung im Zusammenhang mit der Verlängerung von Section 702 FISA. In Großbritannien wurde der Investigatory Powers Act bereits genutzt, um Druck auf Apple auszuüben, die iCloud-Verschlüsselung für britische Nutzer zu schwächen. Regierungen weltweit scheinen einen koordinierten Vorstoß zu unternehmen, um die Datenschutzgewinne des letzten Jahrzehnts rückgängig zu machen.
Das Zusammenlaufen dieser Initiativen in demokratischen Regierungen signalisiert, dass die aktuelle Generation von Datenschutztechnologien - standardmäßige starke Verschlüsselung in Messaging-Apps, Browsern und No-Log-Diensten - vor der ernstesten regulatorischen Bedrohung seit Beginn der Massenadaption vor zehn Jahren steht.
Zeitplan und wie es weitergeht
- April 2025: ProtectEU-Strategie angenommen (COM(2025) 148 final)
- Ende 2025: Technologie-Roadmap für Verschlüsselung von der Kommission erwartet
- Juni 2026: Gesetzesentwurf zu Verschlüsselungszugang und Datenspeicherung erwartet
- 2027+: Mögliche Umsetzung in nationales Recht der EU-Mitgliedstaaten
Digitale Rechteorganisationen wie EDRi, Access Now und Privacy International koordinieren bereits den Widerstand gegen die Roadmap im Vorfeld des Gesetzesvorschlags für Juni 2026. Es wird erwartet, dass eine Koalition von Technologieunternehmen während der Konsultationsphase der Kommission, die im Mai 2026 begann, formelle Stellungnahmen abgeben wird.
Was dies für den Datenschutz in Europa bedeutet
Für die Bürger in Europa steht viel auf dem Spiel. Die Ende-zu-Ende-Verschlüsselung in Apps wie Signal und WhatsApp sorgt derzeit dafür, dass selbst die Unternehmen, die diese Dienste betreiben, die Nachrichten der Nutzer nicht lesen können. Hintertüren würden das ändern: nicht nur für den Zugriff von Strafverfolgungsbehörden, sondern für jeden, der den Zugangsmechanismus entdeckt oder ausnutzt. Die gleiche Logik gilt für private Browser-Tools und No-Log-Dienste, die gezwungen wären, Verbindungsdaten zu speichern, die sie derzeit gar nicht erst erstellen.
Obligatorische Protokollierungsanforderungen würden eines der letzten verbleibenden Werkzeuge für die anonyme Internetnutzung innerhalb der EU eliminieren - eine Ressource, die nicht nur von datenschutzbewussten Verbrauchern genutzt wird, sondern auch von Journalisten zum Schutz von Quellen, Aktivisten in repressiven Umgebungen und Whistleblowern, die Missstände in Unternehmen oder im Staat aufdecken.
Für Nutzer, die Datenschutz ernst nehmen, ist es jetzt an der Zeit sicherzustellen, dass die von ihnen genutzten Werkzeuge in Gerichtsbarkeiten außerhalb der regulatorischen Reichweite der EU angesiedelt sind. Ein No-Log-VPN, das unter einer strikten Privacy-First-Politik arbeitet und seinen Hauptsitz außerhalb der EU hat, bietet den stärksten Schutz gegen die von ProtectEU vorgesehene obligatorische Datenspeicherung.
