Chatkontrolle 1.0 und 2.0: Was Organisationen und Beschäftigte wissen sollten
Der Begriff „Chatkontrolle“ wird für zwei unterschiedliche Regelungsebenen verwendet. Für Unternehmen ist entscheidend, zwischen der vorläufigen freiwilligen Regelung und dem geplanten dauerhaften EU-Rechtsrahmen zu unterscheiden.
Was mit „Version 1.0“ und „Version 2.0“ gemeint ist
| Chatkontrolle 1.0 | Chatkontrolle 2.0 |
|---|---|
| Temporäre Ausnahme von bestimmten ePrivacy-Regeln. | Vorgeschlagener dauerhafter Rechtsrahmen zur Prävention und Bekämpfung sexuellen Kindesmissbrauchs online. |
| Erlaubt Anbietern freiwillige Erkennungsmaßnahmen unter gesetzlichen Bedingungen. | Vorgesehen sind insbesondere Risikobewertungen, Risikominderung, Melde- und Entfernungsprozesse sowie ein EU-Zentrum. |
| Keine allgemeine Verpflichtung für Arbeitgeber, interne Beschäftigtenkommunikation zu scannen. | Die konkrete Reichweite hängt vom finalen Text und davon ab, ob eine Organisation selbst betroffener Diensteanbieter ist. |
| Die Ausgestaltung ist zeitlich befristet und wurde mehrfach verlängert bzw. weiterverhandelt. | Rat und Parlament besitzen unterschiedliche Positionen; die Trilogverhandlungen laufen. |
Der aktuelle politische Stand
Das Europäische Parlament hat seine Position zum dauerhaften Rechtsrahmen bereits im November 2023 festgelegt. Diese Position lehnt flächendeckendes Scannen privater Kommunikation und Hintertüren in Verschlüsselung ab. Ende-zu-Ende-verschlüsselte Kommunikation und Textnachrichten sollen nach der Parlamentsposition nicht unter Erkennungsanordnungen fallen.
Der Rat der EU beschloss im November 2025 sein Verhandlungsmandat. Es sieht Pflichten zur Risikobewertung und Risikominderung, Risikokategorien für Dienste, Unterstützungsrechte für Betroffene und ein EU-Zentrum vor. Nach der Ratsposition soll die freiwillige Erkennung dauerhaft ermöglicht werden. Seitdem laufen Verhandlungen mit dem Parlament.
Was bedeutet das für Unternehmen und Verwaltungen?
1. Kommunikations- und Kollaborationsdienste inventarisieren
Organisationen sollten wissen, welche Messenger, Kollaborationsplattformen, Cloud-Dienste und privaten Endgeräte dienstlich verwendet werden. Dazu gehören auch Schatten-IT und informelle Kommunikationskanäle.
2. Anbieter- und Datenschutzprüfung aktualisieren
Bei Beschaffung und Vertragsmanagement sind Verschlüsselung, Datenverarbeitung, Unterauftragnehmer, Meldeprozesse und mögliche Änderungen der Produktarchitektur zu bewerten. Besonders relevant ist dies bei Cloud- und Kommunikationsdiensten.
3. Informationsklassifizierung praktisch umsetzen
Beschäftigte brauchen verständliche Regeln: Welche Informationen dürfen über welchen Kanal geteilt werden? Was gehört in freigegebene Fachverfahren, was nicht in private Messenger oder offene Gruppen?
4. Betriebsrat, Datenschutz und Informationssicherheit früh beteiligen
Sobald technische Kontrollen Beschäftigtendaten oder Kommunikationsinhalte berühren könnten, entstehen Fragen des Datenschutzes, der Mitbestimmung und der Verhältnismäßigkeit. Diese Themen gehören in eine gemeinsame Governance – nicht allein in die IT.
5. Kein vorschnelles Überwachen der Mitarbeitenden
Aus den EU-Verhandlungen folgt keine pauschale Erlaubnis für Arbeitgeber, Beschäftigtenkommunikation zu überwachen. Interne Kontrollen benötigen weiterhin eine eigenständige Rechtsgrundlage, Zweckbindung, Verhältnismäßigkeit und gegebenenfalls Mitbestimmung.
Was bedeutet das für Mitarbeitende?
- Mehr Klarheit: Dienstliche und private Kommunikation müssen sauber getrennt werden.
- Neue Richtlinien: Erlaubte Kanäle und der Umgang mit vertraulichen Informationen sollten verständlich beschrieben sein.
- Awareness statt Misstrauen: Schulungen sollten nicht den Eindruck pauschaler Überwachung erzeugen, sondern Risiken und sichere Alternativen erklären.
- Schutz von Berufsgeheimnissen: Besonders sensible Bereiche benötigen geprüfte, verschlüsselte und vertraglich abgesicherte Kommunikationswege.
- Transparenz: Technische Kontrollen und Protokollierungen müssen nachvollziehbar kommuniziert werden.
Praktische Checkliste für die nächsten 90 Tage
- Kommunikationsdienste und dienstliche Messenger erfassen
- Richtlinie für digitale Kommunikation prüfen
- Datenschutz-Folgen und Mitbestimmung bewerten
- Verträge und technische Dokumentation kritischer Anbieter prüfen
- Informationsklassifizierung und Freigaberegeln verständlich machen
- Awareness für Führungskräfte und Beschäftigte vorbereiten
- EU-Verfahren beobachten und Verantwortlichkeit für regulatorische Änderungen festlegen
Quellen und Hinweis
Grundlage dieser Einordnung sind Veröffentlichungen des Rates der Europäischen Union, des Europäischen Parlaments sowie die gemeinsame Stellungnahme von EDPB und EDPS. Der Beitrag stellt keine Rechtsberatung dar.
Rat der EU: Verhandlungsposition vom 26.11.2025
Europäisches Parlament: Überblick und Parlamentsposition
Europäisches Parlament: Verhandlungen zur befristeten Regelung, März 2026
EDPB/EDPS: Gemeinsame Stellungnahme 04/2022