Aus mailbox.org wird mailbox: Technik und Marke neu gedacht. Jetzt mehr erfahren!

Direkt zum Inhalt

Chatkontrolle: „Ein bisschen Hintertür gibt es nicht“

Die Uhr tickt. Am 14. Oktober 2025 entscheidet der EU-Rat über die CSA-Verordnung, umgangssprachlich Chatkontrolle genannt – ein Gesetz, das die digitale Privatsphäre von 450 Millionen Europäern fundamental verändern könnte. Die dänische Ratspräsidentschaft drängt auf eine Abstimmung, und mittendrin steht Deutschland, dessen Position über das Schicksal der Verordnung entscheiden könnte. Doch die einst klare Ablehnung der Bundesregierung scheint zu bröckeln.

Überwachungskamera

Gemeinsam mit der Heinlein Group und zahlreichen weiteren europäischen Technologieunternehmen positioniert sich mailbox in einem offenen Brief unmissverständlich gegen die Pläne. Das Ziel, Kinder vor Missbrauch zu schützen, ist unbestritten von höchster Bedeutung. Doch der vorgeschlagene Weg gefährdet die digitale Sicherheit aller, ohne das eigentliche Problem wirksam zu lösen.

Was ist die Chatkontrolle und wen betrifft sie?

Die CSA-Verordnung würde E-Mail- und Messenger-Dienste verpflichten, private Nachrichten automatisiert nach Darstellungen sexuellen Kindesmissbrauchs zu durchsuchen – und zwar bereits vor der Verschlüsselung auf dem Gerät des Nutzers (sogenanntes Client-Side-Scanning). Betroffen wären alle Kommunikationsdienste in der EU, einschließlich verschlüsselter Plattformen. Das Scannen würde jeden EU-Bürger treffen – anlasslos, ohne Verdacht, ohne richterliche Anordnung.

mailbox und Heinlein positionieren sich klar

Peer Heinlein, Gründer und Geschäftsführer der Heinlein Group, zu der auch mailbox gehört, formuliert das Grundproblem prägnant: „Eine wirksame Verschlüsselung darf in keinem Fall durch verordnete Umgehungsmöglichkeiten geschwächt werden: Ein bisschen Hintertür gibt es nicht. Sind technische Zugriffsmöglichkeiten in ein Verschlüsselungssystem vorgesehen, ist es nur eine Frage der Zeit, bis auch nicht-autorisierte Stellen diese ausnutzen und damit die gesamte Ende-zu-Ende-Verschlüsselung aushebeln können."

In einem offenen Brief vom 7. Oktober 2025, den die gesamte Heinlein Group gemeinsam mit anderen europäischen Technologieunternehmen unterzeichnet hat, sind die strategischen Risiken der Verordnung klar benannt:

  • Digitale Souveränität: Europa benötigt gerade in einer instabilen Welt eigene sichere digitale Infrastrukturen. Client-Side-Scanning würde europäische Dienste im globalen Wettbewerb schwächen und die Abhängigkeit von US-amerikanischen und chinesischen Monopolisten verstärken.
  • Nationale Sicherheit: Verschlüsselung ist unverzichtbar für den Schutz kritischer Infrastrukturen. Eingebaute Schwachstellen würden von Kriminellen und feindlichen Staaten ausgenutzt.
  • Vertrauen als Wettbewerbsvorteil: Europas hohe Datenschutzstandards sind ein hart erarbeiteter Wettbewerbsvorteil, den die CSA-Verordnung zunichtemachen würde.
  • Belastung für KMU: Besonders kleine und mittlere Unternehmen könnten die technischen und finanziellen Anforderungen kaum stemmen, was Innovation hemmt und Marktkonzentration fördert.
  • Widersprüchliche Regulierung: Während Gesetze wie NIS2 und der Cyber Resilience Act die Cybersicherheit stärken sollen, würde die Chatkontrolle systemische Schwachstellen erzwingen.

Deutschlands Stimme könnte entscheidend sein

Für eine qualifizierte Mehrheit im EU-Rat sind 55 Prozent der Mitgliedstaaten nötig, die 65 Prozent der EU-Bevölkerung repräsentieren. Deutschland, als bevölkerungsreichstes EU-Land, lehnte unter der vorangegangenen Regierung bisher den Vorschlag aus verfassungsrechtlichen Bedenken klar ab und war damit entscheidend für die „blockierende Minderheit", die im Dezember 2024 die Chatkontrolle verhinderte. Die Haltung der neuen Bundesregierung ist jedoch unklar: Hinter den Kulissen wird offenbar über Kompromisse verhandelt. Selbst eine bloße Enthaltung Deutschlands könnte ausreichen, um den Befürwortern die notwendige Mehrheit zu verschaffen.

Wenn Urlaubsfotos zu Ermittlungen führen

Sollte sich der Vorschlag durchsetzen, könnte dem Scann der eigenen Kommunikation in der Theorie zwar widersprochen werden, allerdings nur um den Preis, keine Bilder, Videos oder Links mehr versenden zu können. Die Tragweite der Alternative wird besonders im Detail deutlich. Jede private Nachricht, jedes Foto würde maschinell analysiert – von Algorithmen, deren Fehlerquote erheblich ist.

Die Konsequenzen: Urlaubsfotos von Kindern am Strand könnten zu falschen Verdächtigungen führen. Private Aufnahmen würden von unbekannten Dritten gesichtet. Vertrauliche Kommunikation, ob zwischen Anwälten und Mandanten, Ärzten und Patienten oder Journalisten und Quellen, wäre nicht mehr geschützt. Dass die EU-Regierungen ihre eigenen Accounts aus „Sicherheitsgründen" vom Scannen ausnehmen wollen, offenbart das grundsätzliche Problem der Maßnahme.

Der weitere Ablauf und die rechtliche Einordnung

Der 14. Oktober ist der Tag der Entscheidung im EU-Rat. Wird der Vorschlag angenommen, folgen Trilog-Verhandlungen, also Gespräche zwischen Europäischem Parlament, Rat und Kommission zur Aushandlung der finalen Fassung. Diese könnten bis ins Frühjahr 2026 dauern. Bei einer Verabschiedung hätten die Mitgliedstaaten 24 Monate zur Umsetzung. Bisher hat der Europäische Gerichtshof wiederholt entschieden, dass anlasslose Massenüberwachung gegen Grundrechte verstößt, doch bleibt abzuwarten, ob diese Barriere bestehen bleibt.

Was Nutzer selbst tun können

Die kommenden Tage sind entscheidend. Unternehmen und Privatpersonen können noch Einfluss nehmen:

  • Direkte Kontaktaufnahme: Über Plattformen wie fightchatcontrol.eu lassen sich nationale Ministerien und EU-Parlamentarier direkt anrufen. Telefonate wirken nachweislich stärker als E-Mails. Die zuständigen Ministerien sind Inneres, Justiz und Digitalisierung.
  • Öffentlicher Druck: Kampagnen wie stopchatcontrol.eu bieten Petitionen und Informationsmaterialien. Die Verbreitung über soziale Medien mit den Hashtags #chatcontrol und #StopScanningMe erhöht die Reichweite.
  • Nationale Parlamente aktivieren: Abgeordnete in Bundestag oder Landtagen können Resolutionen einbringen, die Druck auf die Bundesregierung ausüben, ihre Position zu klären und beizubehalten.
  • Rechtliche Schritte vorbereiten: Bei Verabschiedung der Verordnung sind Verfassungsbeschwerden möglich, da die Rechtsprechung des Europäischen Gerichtshofs eine klare Linie gegen anlasslose Überwachung zieht.

Europa braucht Stärke statt Schwächung

Die kommenden Wochen werden zeigen, ob Europa bereit ist, seine digitale Souveränität zu verteidigen oder ob es seinen einzigen strategischen Vorteil im globalen Technologiewettbewerb preisgibt. Europäische Anbieter haben sich durch Datenschutz und Sicherheit einen Vertrauensvorsprung erarbeitet, der im Wettbewerb mit den Tech-Giganten aus den USA und China entscheidend ist. Die Chatkontrolle würde genau diesen Vorteil zerstören und innovative Unternehmen vom Markt drängen. Für mailbox steht fest: Europa braucht starke, vertrauenswürdige digitale Infrastrukturen, keine systematischen Schwachstellen in der Kommunikationssicherheit aller Bürger.

Offener Brief an die EU-Mitgliedstaaten zur vorgeschlagenen CSA Verordnung

Sehr geehrte Minister und Botschafter der EU-Mitgliedstaaten,

wir, die unterzeichnenden europäischen Unternehmen, sowie die European DIGITAL SME Alliance - die mehr als 45.000 digitale KMU in ganz Europa vertritt - schreiben Ihnen mit großer Besorgnis über die vorgeschlagene Verordnung zum sexuellen Kindesmissbrauch (CSA). Der Schutz von Kindern und die Gewährleistung, dass jeder in unseren Diensten und im Internet im Allgemeinen sicher ist, stehen im Mittelpunkt unserer Mission als datenschutzorientierte Unternehmen. Wir betrachten den Schutz der Privatsphäre als ein Grundrecht, das das Vertrauen, die Sicherheit und die Freiheit im Internet für Erwachsene und Kinder gleichermaßen gewährleistet. Wir sind jedoch davon überzeugt, dass der derzeitige Ansatz der dänischen Ratspräsidentschaft das Internet nicht nur für alle unsicherer macht, sondern auch eines der wichtigsten strategischen Ziele der EU untergräbt: ein höheres Maß an digitaler Souveränität zu erreichen.

Digitale Souveränität ist die strategische Zukunft Europas

In einer zunehmend instabilen Welt muss Europa in der Lage sein, seine eigene sichere digitale Infrastruktur, Dienste und Technologien im Einklang mit den europäischen Werten zu entwickeln und zu kontrollieren. Die einzige Möglichkeit, diese Risiken zu mindern, besteht darin, innovative europäische Technologieanbieter zu unterstützen.

Digitale Souveränität ist aus zwei Hauptgründen wichtig:

  • Wirtschaftliche Unabhängigkeit: Die digitale Zukunft Europas hängt von der Wettbewerbsfähigkeit seiner eigenen Unternehmen ab. Würde man jedoch europäische Dienste dazu zwingen, ihre Sicherheitsstandards zu untergraben, indem sie alle Nachrichten, auch verschlüsselte, mittels clientseitigem Scannen überprüfen, würde dies die Sicherheit der Nutzer im Internet untergraben und den hohen europäischen Datenschutzstandards zuwiderlaufen. Daher werden europäische Nutzer - Privatpersonen wie Unternehmen - und Kunden aus aller Welt das Vertrauen in unsere Dienste verlieren und sich ausländischen Anbieter zuwenden. Dies wird Europa noch abhängiger von amerikanischen und chinesischen Tech-Giganten machen, die sich derzeit nicht an unsere Regeln halten, und die Wettbewerbsfähigkeit der EU mindern.
  • Nationale Sicherheit: Die Verschlüsselung ist für die nationale Sicherheit unerlässlich. Die Forderung nach Hintertüren oder anderen Scanning-Technologien schafft unweigerlich Schwachstellen, die von feindlichen staatlichen Akteuren und Kriminellen ausgenutzt werden können und werden. Genau aus diesem Grund haben sich die Regierungen selbst von den vorgeschlagenen CSA-Scan-Verpflichtungen befreit. Dennoch werden viele sensible Informationen von Unternehmen, Politikern und Bürgern gefährdet sein, sollte die CSA-Verordnung verabschiedet werden. Sie wird die Fähigkeit Europas schwächen, seine kritischen Infrastrukturen, seine Unternehmen und seine Bürger zu schützen.

Die CSA-Verordnung wird das Vertrauen in europäische Unternehmen untergraben

Vertrauen ist ein Wettbewerbsvorteil für Europa. Dank der Datenschutz-Grundverordnung und der starken europäischen Datenschutzgesetzgebung haben europäische Unternehmen Dienste entwickelt, auf deren Datenschutz, Sicherheit und Integrität sich Nutzer weltweit verlassen. Dieser Ruf ist hart erarbeitet und verschafft den in Europa ansässigen Diensten ein Alleinstellungsmerkmal, mit dem die großen Tech-Monopole nicht mithalten können. Dies ist einer der wenigen, wenn nicht sogar der einzige Wettbewerbsvorteil, den Europa im Technologiesektor gegenüber den USA und China hat, doch die CSA-Verordnung droht diesen Erfolg zunichtezumachen.

Dieser Gesetzesentwurf würde die europäischen ethischen und auf den Schutz der Privatsphäre ausgerichteten Dienste schaden, indem er sie zwingt, genau die Sicherheitsgarantien zu schwächen, die europäische Unternehmen international auszeichnen. Dies ist besonders problematisch in einem Kontext, in dem die US-Regierung ihren Unternehmen ausdrücklich verbietet, die Verschlüsselung zu schwächen, selbst wenn dies durch EU-Recht vorgeschrieben ist.

Letztendlich wird die CSA-Verordnung ein Segen für US-amerikanische und chinesische Unternehmen sein, da sie Europa dazu bringt, seinen einzigen Wettbewerbsvorteil aufzugeben und die Türen für Big Tech noch weiter zu öffnen.

Widersprüche schwächen Europas digitale Ambitionen

Die EU hat sich verpflichtet, die Cybersicherheit durch Maßnahmen wie die NIS2, den Cyber Resilience Act und den Cybersecurity Act zu stärken. Diese Maßnahmen erkennen die Verschlüsselung als wesentlich für die digitale Unabhängigkeit Europas an. Die CSA-Verordnung darf diese Errungenschaften jedoch nicht untergraben, indem sie systemische Schwachstellen vorschreibt.

Es ist inkohärent, wenn Europa mit der einen Hand in die Cybersicherheit investiert und mit der anderen Hand Gesetze gegen sie erlässt.

Die europäischen KMU werden am stärksten betroffen sein

Kleine und mittlere Unternehmen (KMU) wären am stärksten betroffen, wenn sie verpflichtet würden, clientseitiges Scannen einzuführen. Im Gegensatz zu großen Technologiekonzernen verfügen KMU oft nicht über die finanziellen und technischen Ressourcen, um Überwachungsmechanismen zu entwickeln und zu unterhalten, was bedeutet, dass die Einhaltung der Vorschriften unverhältnismäßige Kosten nach sich ziehen oder zum Marktaustritt zwingen würde. Darüber hinaus bauen viele KMU ihre einzigartige Marktposition darauf auf, dass sie ein Höchstmaß an Datenschutz und Privatsphäre bieten, was insbesondere in Europa für viele ein entscheidender Faktor dafür ist, dass sie sich für ihre Produkte entscheiden und nicht für die Produkte von Big Tech. Eine Verpflichtung zum clientseitigen Scannen würde dieses zentrale Versprechen vieler europäischer Unternehmen untergraben.

Dies wird die europäische Innovation ersticken und die Dominanz ausländischer Anbieter zementieren. Anstatt ein lebendiges, unabhängiges digitales Ökosystem aufzubauen, riskiert Europa, seine eigenen Unternehmen per Gesetz aus dem Markt zu drängen.

Aus diesen Gründen fordern wir Sie auf:

  • Lehnen Sie Maßnahmen ab, die die Implementierung von clientseitigem Scannen, Hintertüren oder Massenüberwachung privater Kommunikation erzwingen würden, wie wir sie derzeit im dänischen Vorschlag sehen.
  • Schutz der Verschlüsselung zur Stärkung der europäischen Cybersicherheit und digitalen Souveränität.
  • Bewahren Sie das Vertrauen, das europäische Unternehmen international aufgebaut haben.
  • Stellen Sie sicher, dass EU-Regulierung die Wettbewerbsfähigkeit der europäischen KMUs stärkt, anstatt sie zu untergraben.
  • Verabschieden Sie Maßnahmen zum Kinderschutz, die wirksam und verhältnismäßig sind und mit Europas strategischem Ziel der digitalen Souveränität vereinbar sind.

Digitale Souveränität kann nicht erreicht werden, wenn Europa die Sicherheit und Integrität seiner eigenen Unternehmen untergräbt, indem es clientseitiges Scannen oder andere ähnliche Tools oder Methoden vorschreibt, die zum Scannen verschlüsselter Daten entwickelt wurden. Technologieexperten haben erneut bestätigt, dass dies nicht möglich ist, ohne die Verschlüsselung zu schwächen oder zu untergraben. Um in der globalen digitalen Wirtschaft führend zu sein, muss die EU den Datenschutz, das Vertrauen und die Verschlüsselung schützen.

Unterzeichner:

Blacknight (Irland)

Commown (Frankreich)

CryptPad (Frankreich)

Ecosia (Deutschland)

Element (Deutschland)

E-Foundation (Frankreich)

European Digital SME Alliance (EU-Wirtschaftsverband, der 45.000 KMU in der EU vertritt)

Anwaltskanzlei Fabiano (Italien)

FlokiNET (Island)

FFDN (Frankreich)

Gentils Nuages (Frankreich)

Hashbang (Frankreich)

Heinlein Group (Deutschland)

LeBureau.coop (Frankreich)

Logilab (Frankreich)

mailbox (Deutschland)

Mailfence (Belgien)

Mailo (Frankreich)

Murena (Frankreich)

Nextcloud (Deutschland)

Nord Security (Litauen)

Nym (Frankreich / Schweiz)

Octopuce (Frankreich)

Olvid (Frankreich)OpenCloud (Deutschland)

OpenTalk (Deutschland)

Phoenix R&D (Deutschland)

Proton (Schweiz)

Serendipiware (Griechenland)

Skylabs (Irland)

SMSPool (Niederlande)

Sorware Ay (Finnland)

Soverin (Niederlande)

Startmail (Niederlande)

Surfshark (Niederlande)

TeleCoop (Frankreich)

The Good Cloud (Niederlande)

Threema (Schweiz)

Tuta Mail (Deutschland)

Volla Systeme GmbH (Deutschland)

WEtell (Deutschland)

Wire (Schweiz)

XWiki SAS (Frankreich)

zeitkapsl (Österreich)

Weitere Neuigkeiten

Jutta Horstmann und Peer Heinlein

Jutta Horstmann verstärkt das Heinlein-Führungsteam als Co-CEO

Read more about Jutta Horstmann verstärkt das Heinlein-Führungsteam als Co-CEO
mailbox Logo

mailbox wird zum digital souveränen Arbeitsplatz: Technik und Marke neu gedacht

Read more about mailbox wird zum digital souveränen Arbeitsplatz: Technik und Marke neu gedacht
Trophäe als Auszeichnung für exzellente Leistung

Unsere Sicherheitsstandards werden belohnt: Das BSI verleiht mailbox.org den Goldstatus!

Read more about Unsere Sicherheitsstandards werden belohnt: Das BSI verleiht mailbox.org den Goldstatus!