Meta hat die Ende-zu-Ende-Verschlüsselung (E2EE) für Instagram-Direktnachrichten mit Wirkung zum 8. Mai 2026 entfernt. Diese Entscheidung entzieht rund 2 Milliarden Nutzern weltweit den Schutz der Privatsphäre. Die Änderung macht eine Funktion rückgängig, die Instagram Ende 2023 als Opt-in-Option eingeführt hatte, und öffnet Meta, Strafverfolgungsbehörden und automatisierten Content-Scan-Systemen die Tür zum Zugriff auf private Unterhaltungen, Fotos und Sprachnachrichten.
Was sich geändert hat und wann
Meta kündigte den Rückzieher am 13. März 2026 an und nannte als Begründung die geringe Akzeptanz bei den Nutzern. Das Unternehmen erklärte, dass "nur sehr wenige Menschen die Ende-zu-Ende-Verschlüsselung in DMs aktivierten, also entfernen wir diese Option von Instagram". Ab dem 8. Mai werden alle Instagram-DMs auf die standardmäßige serverseitige Verschlüsselung umgestellt - was bedeutet, dass Meta die Schlüssel hält und Nachrichten lesen kann, wenn dies von Strafverfolgungsbehörden verlangt oder durch Plattformrichtlinien gefordert wird.
Instagram hatte seit 2021 mit E2EE experimentiert und es Ende 2023 auf breiterer Basis als freiwillige Funktion eingeführt, wobei Datenschutz als Verkaufsargument gegenüber Konkurrenten positioniert wurde. Diese Positionierung wurde nun faktisch aufgegeben.
Die wahren Gründe für den Rückzieher
Datenschutzexperten und Sicherheitsforscher stehen der von Meta angegebenen Begründung skeptisch gegenüber. Das Entfernen einer Funktion, nur weil wenige Nutzer sie aktiv einschalten - anstatt sie einfach für diejenigen zu belassen, die sie wollen - deutet auf tieferen regulatorischen und kommerziellen Druck hin.
- EU Chat Control: Der Gesetzesvorschlag der EU-Kommission würde Messaging-Plattformen verpflichten, private Kommunikation auf Darstellungen von sexuellem Kindesmissbrauch (CSAM) zu scannen. E2EE macht dies technisch unmöglich. Die Entfernung von E2EE beseitigt eine erhebliche Hürde bei der Einhaltung der Vorschriften, falls die Verordnung verabschiedet wird.
- US Take It Down Act: Das Gesetz tritt am 19. Mai 2026 in Kraft - nur 11 Tage nach Instagrams Rückzieher. Es verlangt von Plattformen, nicht einvernehmliche intime Bilder, einschließlich KI-generierter Deepfakes, innerhalb von 48 Stunden nach einer Aufforderung zu erkennen und zu entfernen. Auch hierfür ist die Fähigkeit erforderlich, Nachrichteninhalte zu scannen.
- UK Online Safety Act: Die britische Aufsichtsbehörde Ofcom ist durch das Gesetz bereits befugt, Plattformen zum Scannen nach CSAM anzuweisen. Die Einhaltung der Vorschriften über verschiedene Rechtsordnungen hinweg wird für Meta ohne E2EE erheblich einfacher.
Was das für die Nutzer bedeutet
Praktisch gesehen sind Instagram-DMs nicht mehr im traditionellen Sinne privat. Die Metadaten darüber, wem Sie wann schreiben, waren für Meta schon immer zugänglich - aber jetzt ist auch der Inhalt selbst für das Unternehmen lesbar und kann mit Regierungen geteilt werden, die gültige rechtliche Anfragen stellen.
Für Journalisten, Aktivisten, Whistleblower und jeden, der unter einer autoritären Regierung lebt, stellt dies einen bedeutsamen Anstieg des Risikos dar. Instagram ist in Ländern mit restriktiven Regimen weit verbreitet, gerade weil es als relativ privater Kanal galt. Diese Annahme gilt nun nicht mehr.
Für normale Nutzer bedeutet die Änderung, dass für Instagram-DMs nun dieselben Datenschutzerwartungen gelten wie für E-Mails auf dem Server eines Drittanbieters - Ihre Nachrichten sind sicher vor zufälligen Fremden, aber nicht vor dem Plattformbetreiber oder juristischen Prozessen.
Alternativen, die weiterhin E2EE bieten
Wenn Ihnen privates Messaging wichtig ist, steht der technische Schutz, den Meta gerade entfernt hat, in speziellen Messaging-Apps weiterhin zur Verfügung. Signal bleibt der Goldstandard - es ist Open Source, unabhängig geprüft und bietet E2EE standardmäßig für alle Nachrichtentypen. WhatsApp (ebenfalls im Besitz von Meta) behält E2EE für individuelle Nachrichten bei, obwohl die Sammlung von Metadaten umfangreich ist. Telegram bietet E2EE nur im Modus "Geheime Chats" an.
Die breitere Lektion aus Instagrams Kehrtwende ist, dass eine von der Plattform bereitgestellte Verschlüsselung nur so langlebig ist wie die Bereitschaft der Plattform, sie unter regulatorischem Druck aufrechtzuerhalten. In eine App integrierte Verschlüsselung, die von einem Unternehmen kontrolliert wird, unterscheidet sich grundlegend von einer Verschlüsselung, die Sie selbst kontrollieren.
Hilft ein VPN?
Ein VPN kann die Ende-zu-Ende-Verschlüsselung für Ihre Instagram-Nachrichten nicht wiederherstellen - das war eine serverseitige Funktion von Meta. Ein VPN bietet eine andere Schutzschicht: Es verschlüsselt die Verbindung zwischen Ihrem Gerät und dem VPN-Server, sodass Ihr Internetanbieter nicht sehen kann, dass Sie Instagram nutzen. Dies ist besonders in Ländern wichtig, in denen Provider gesetzlich verpflichtet sind, die Social-Media-Nutzung zu überwachen. Ein VPN verbirgt auch Ihre IP-Adresse vor den Instagram-Servern. Es hindert Meta jedoch nicht daran, Ihre Nachrichten zu lesen, sobald sie auf deren Servern ankommen - dieser Schutz ist bei Instagram nun vollständig verschwunden.
• Meta U-turns on encryption push for Instagram as DMs go plaintext - The Register
• Instagram is dropping end-to-end encrypted chats - Euronews
• Meta is killing end-to-end encryption in Instagram DMs - Engadget
• Instagram Encrypted Messaging Ends on Friday, May 8 - MacRumors
• Instagram Kills End-to-End Encryption - AndroidHeadlines
• Instagram is removing end-to-end encryption from DMs - NotebookCheck
