Fachbeitrag · EU-Regulierung · Stand 14. Juli 2026

Chatkontrolle 1.0 und 2.0: Was Organisationen und Beschäftigte wissen sollten

Der Begriff „Chatkontrolle“ wird für zwei unterschiedliche Regelungsebenen verwendet. Für Unternehmen ist entscheidend, zwischen der vorläufigen freiwilligen Regelung und dem geplanten dauerhaften EU-Rechtsrahmen zu unterscheiden.

Einordnung: Der dauerhafte Rechtsrahmen ist noch nicht endgültig beschlossen. Rat und Europäisches Parlament verhandeln über einen finalen Text. Unternehmen sollten daher Szenarien beobachten, aber keine vermeintlich endgültigen Pflichten vorwegnehmen.

Was mit „Version 1.0“ und „Version 2.0“ gemeint ist

Chatkontrolle 1.0Chatkontrolle 2.0
Temporäre Ausnahme von bestimmten ePrivacy-Regeln.Vorgeschlagener dauerhafter Rechtsrahmen zur Prävention und Bekämpfung sexuellen Kindesmissbrauchs online.
Erlaubt Anbietern freiwillige Erkennungsmaßnahmen unter gesetzlichen Bedingungen.Vorgesehen sind insbesondere Risikobewertungen, Risikominderung, Melde- und Entfernungsprozesse sowie ein EU-Zentrum.
Keine allgemeine Verpflichtung für Arbeitgeber, interne Beschäftigtenkommunikation zu scannen.Die konkrete Reichweite hängt vom finalen Text und davon ab, ob eine Organisation selbst betroffener Diensteanbieter ist.
Die Ausgestaltung ist zeitlich befristet und wurde mehrfach verlängert bzw. weiterverhandelt.Rat und Parlament besitzen unterschiedliche Positionen; die Trilogverhandlungen laufen.

Der aktuelle politische Stand

Das Europäische Parlament hat seine Position zum dauerhaften Rechtsrahmen bereits im November 2023 festgelegt. Diese Position lehnt flächendeckendes Scannen privater Kommunikation und Hintertüren in Verschlüsselung ab. Ende-zu-Ende-verschlüsselte Kommunikation und Textnachrichten sollen nach der Parlamentsposition nicht unter Erkennungsanordnungen fallen.

Der Rat der EU beschloss im November 2025 sein Verhandlungsmandat. Es sieht Pflichten zur Risikobewertung und Risikominderung, Risikokategorien für Dienste, Unterstützungsrechte für Betroffene und ein EU-Zentrum vor. Nach der Ratsposition soll die freiwillige Erkennung dauerhaft ermöglicht werden. Seitdem laufen Verhandlungen mit dem Parlament.

Was bedeutet das für Unternehmen und Verwaltungen?

1. Kommunikations- und Kollaborationsdienste inventarisieren

Organisationen sollten wissen, welche Messenger, Kollaborationsplattformen, Cloud-Dienste und privaten Endgeräte dienstlich verwendet werden. Dazu gehören auch Schatten-IT und informelle Kommunikationskanäle.

2. Anbieter- und Datenschutzprüfung aktualisieren

Bei Beschaffung und Vertragsmanagement sind Verschlüsselung, Datenverarbeitung, Unterauftragnehmer, Meldeprozesse und mögliche Änderungen der Produktarchitektur zu bewerten. Besonders relevant ist dies bei Cloud- und Kommunikationsdiensten.

3. Informationsklassifizierung praktisch umsetzen

Beschäftigte brauchen verständliche Regeln: Welche Informationen dürfen über welchen Kanal geteilt werden? Was gehört in freigegebene Fachverfahren, was nicht in private Messenger oder offene Gruppen?

4. Betriebsrat, Datenschutz und Informationssicherheit früh beteiligen

Sobald technische Kontrollen Beschäftigtendaten oder Kommunikationsinhalte berühren könnten, entstehen Fragen des Datenschutzes, der Mitbestimmung und der Verhältnismäßigkeit. Diese Themen gehören in eine gemeinsame Governance – nicht allein in die IT.

5. Kein vorschnelles Überwachen der Mitarbeitenden

Aus den EU-Verhandlungen folgt keine pauschale Erlaubnis für Arbeitgeber, Beschäftigtenkommunikation zu überwachen. Interne Kontrollen benötigen weiterhin eine eigenständige Rechtsgrundlage, Zweckbindung, Verhältnismäßigkeit und gegebenenfalls Mitbestimmung.

Was bedeutet das für Mitarbeitende?

  • Mehr Klarheit: Dienstliche und private Kommunikation müssen sauber getrennt werden.
  • Neue Richtlinien: Erlaubte Kanäle und der Umgang mit vertraulichen Informationen sollten verständlich beschrieben sein.
  • Awareness statt Misstrauen: Schulungen sollten nicht den Eindruck pauschaler Überwachung erzeugen, sondern Risiken und sichere Alternativen erklären.
  • Schutz von Berufsgeheimnissen: Besonders sensible Bereiche benötigen geprüfte, verschlüsselte und vertraglich abgesicherte Kommunikationswege.
  • Transparenz: Technische Kontrollen und Protokollierungen müssen nachvollziehbar kommuniziert werden.

Praktische Checkliste für die nächsten 90 Tage

  • Kommunikationsdienste und dienstliche Messenger erfassen
  • Richtlinie für digitale Kommunikation prüfen
  • Datenschutz-Folgen und Mitbestimmung bewerten
  • Verträge und technische Dokumentation kritischer Anbieter prüfen
  • Informationsklassifizierung und Freigaberegeln verständlich machen
  • Awareness für Führungskräfte und Beschäftigte vorbereiten
  • EU-Verfahren beobachten und Verantwortlichkeit für regulatorische Änderungen festlegen
FEIT-IT-Einschätzung: Für die meisten Organisationen ist die wichtigste Aufgabe derzeit nicht die Einführung neuer Überwachungstechnik. Entscheidend sind klare Kommunikationsregeln, sichere Dienste, nachvollziehbare Anbietersteuerung und eine vertrauensvolle Einbindung der Mitarbeitenden.

Quellen und Hinweis

Grundlage dieser Einordnung sind Veröffentlichungen des Rates der Europäischen Union, des Europäischen Parlaments sowie die gemeinsame Stellungnahme von EDPB und EDPS. Der Beitrag stellt keine Rechtsberatung dar.

Rat der EU: Verhandlungsposition vom 26.11.2025
Europäisches Parlament: Überblick und Parlamentsposition
Europäisches Parlament: Verhandlungen zur befristeten Regelung, März 2026
EDPB/EDPS: Gemeinsame Stellungnahme 04/2022