Stell dir vor, du stimmst über etwas ab, das dir wichtig ist. Am Ende steht es 314 zu 276 gegen den Vorschlag. Eine klare Mehrheit dagegen. Und trotzdem gilt der Vorschlag als angenommen. Kein Softwarefehler, keine Verschwörung, sondern exakt so vorgesehen. Genau das ist am 9. Juli 2026 im Europäischen Parlament passiert, bei der Abstimmung über die sogenannte Chatkontrolle 1.0. Und das eigentlich Bemerkenswerte an diesem Tag ist gar nicht, worüber abgestimmt wurde. Es ist, wie.
Der Verfahrenstrick, der eine Mehrheit umdreht
Am 26. März 2026 hat das Plenum des EU-Parlaments über genau dieselbe Frage schon einmal abgestimmt: soll die befristete Ausnahmeregelung, die freiwilliges Scannen von Nachrichten nach Missbrauchsmaterial erlaubt, verlängert werden? Die Antwort war ein klares Nein, 311 zu 228. Damit war die Regelung ausgelaufen und eigentlich Geschichte.
Nur hat der EU-Rat das nicht so gesehen. Am 2. Juli 2026 hat er im schriftlichen Umlaufverfahren, also ohne öffentliche Debatte, eine eigene Position beschlossen, um die ausgelaufene Regelung wiederzubeleben. Am 7. Juli hat Parlamentspräsidentin Roberta Metsola von der konservativen EVP-Fraktion durchgesetzt, dass die Sache über ein Eilverfahren noch vor der Sommerpause behandelt wird, mit 331 zu 304 Stimmen bei 11 Enthaltungen angenommen. Das klingt nach einer technischen Formalie. Ist es aber nicht.
Normalerweise reicht im Parlament eine einfache Mehrheit der Abstimmenden, um etwas abzulehnen. Wer nicht da ist oder sich enthält, zählt einfach nicht mit, wie bei den meisten Vereinsversammlungen auch. Das Eilverfahren dreht diese Logik für die Sachabstimmung um: Um die Verlängerung abzulehnen, brauchte es plötzlich eine absolute Mehrheit von 361 Stimmen, also mehr als die Hälfte aller 720 Mitglieder des Parlaments, unabhängig davon, wer überhaupt anwesend war. Wer zu Hause blieb, stimmte damit faktisch für die Verlängerung mit, ohne einen einzigen Finger zu rühren.
Am 9. Juli 2026, wenige Tage vor Beginn der Sommerpause, also zum Zeitpunkt der niedrigsten Anwesenheit im ganzen Jahr, kam der Ablehnungsantrag auf 314 zu 276 Stimmen bei 17 Enthaltungen. Eine klare Mehrheit gegen die Verlängerung. Nur eben keine 361. Die im März bereits abgelehnte Regelung gilt damit als angenommen, verlängert bis zum 3. August 2027.
Patrick Breyer, ehemaliger Europaabgeordneter der Piratenpartei und einer der schärfsten Kritiker der Chatkontrolle, bringt es so auf den Punkt: „Dass die Chatkontrolle gegen den Willen der Mehrheit der abstimmenden Abgeordneten kommt, ist eine Farce und beschädigt die Demokratie.” Markéta Gregorová von den Grünen/EFA wird noch deutlicher: „Die Europäische Volkspartei missbraucht ihre Position als größte politische Gruppe, um über ein Verfahrensloch ein Vorhaben zurückzubringen, das das Parlament bereits abgelehnt hatte.” Der Chaos Computer Club formuliert es über seine Sprecherin Elina Eickstädt so: „Das Vorhaben zur Chatkontrolle gleicht einem Zombie, es kehrt immer wieder zurück, obwohl es längst gescheitert sein sollte.”
Was am 9. Juli wirklich beschlossen wurde, und was nicht
Hier passiert in der Berichterstattung regelmäßig eine Verwechslung, die es sich lohnt, sauber aufzudröseln, weil sie für dich als Nutzer*in einen echten Unterschied macht.
Was am 9. Juli verlängert wurde, ist die sogenannte Chatkontrolle 1.0, offiziell die Verordnung (EU) 2021/1232. Sie ist eine befristete Ausnahme von der ePrivacy-Richtlinie, dem EU-Recht, das eigentlich das Fernmeldegeheimnis für elektronische Kommunikation schützt. Diese Ausnahme erlaubt es kommerziellen Anbietern wie Meta, Google, Microsoft oder Snap, freiwillig nach Missbrauchsmaterial in Nachrichten zu scannen. Freiwillig heißt: Sie dürfen, müssen aber nicht. Es gibt keine Scan-Pflicht und kein sogenanntes Client-Side-Scanning, also kein Verfahren, das Nachrichten direkt auf deinem Gerät durchsucht, bevor sie verschlüsselt werden.
Das eigentlich gefürchtete Vorhaben trägt einen anderen Namen: Chatkontrolle 2.0, offiziell die CSA-Verordnung, benannt nach dem Ziel, sexuellen Kindesmissbrauch zu bekämpfen (Child Sexual Abuse). Sie wird seit Jahren im sogenannten Trilog verhandelt, dem informellen Aushandlungsprozess zwischen Parlament, Rat und EU-Kommission, bei dem die drei Institutionen versuchen, sich auf einen gemeinsamen Gesetzestext zu einigen. Dieses Vorhaben sah ursprünglich eine verpflichtende Durchsuchung sämtlicher privater Kommunikation vor, inklusive Client-Side-Scanning, also genau der Eingriff, vor dem Datenschützer*innen seit Jahren warnen. Diese Scan-Pflicht wurde laut Recherche in der Ratsposition vom November 2025 gestrichen, eine endgültige Einigung gibt es aber weiterhin nicht.
Die Abstimmung vom 9. Juli war also keine Entscheidung über verpflichtendes Scannen oder Client-Side-Scanning. Sie war eine Entscheidung darüber, ob kommerzielle Anbieter weiterhin freiwillig scannen dürfen. Das ändert nichts an deinem Alltag, wenn du WhatsApp oder Instagram nutzt, außer dass die Rechtsgrundlage für das, was diese Konzerne ohnehin schon tun, bis August 2027 fortbesteht. Die eigentliche Entscheidung über eine generelle Scan-Pflicht steht weiterhin aus. Sie kommt aber mit ziemlicher Sicherheit wieder, und der 9. Juli hat gezeigt, mit welchen Mitteln eine hartnäckige Mehrheit im Parlament notfalls arbeitet, wenn ihr das Ergebnis einer offenen Abstimmung nicht passt.
Was diese Regelung bisher tatsächlich gebracht hat
Wer für die Verlängerung gestimmt hat, tut das im Namen des Kinderschutzes. Das klingt erst mal wie ein Argument, dem sich schwer widersprechen lässt. Ein Blick auf die Zahlen lohnt sich trotzdem.
Zahlen des Bundeskriminalamts zeigen, dass rund 48 Prozent der aus solchen freiwilligen Scans ausgeleiteten Verdachtsmeldungen, die also an Ermittlungsbehörden weitergegeben werden, strafrechtlich gar nicht relevant waren. 40 Prozent richteten sich sogar gegen Kinder und Jugendliche selbst, etwa weil sie einvernehmlich ausgetauschte Fotos unter Gleichaltrigen automatisiert als Missbrauchsmaterial einstufen. Diese Zahlen bestätigen sich sowohl bei Patrick Breyer als auch unabhängig davon bei netzpolitik.org, das 2024 eigene Rohdaten dazu veröffentlicht hat.
Laut Patrick Breyer, der sich dabei auf eine Statistik der EU-Kommission beruft, sind die tatsächlich verwertbaren Verdachtsmeldungen seit Einführung der freiwilligen Scans sogar um rund die Hälfte zurückgegangen, während Meta parallel angibt, über 99 Prozent der eigenen Scan-Treffer selbst als irrelevant einzustufen. Diese beiden Zahlen stammen aus Breyers Aufbereitung fremder Quellen und sind an dieser Stelle entsprechend zu lesen, nicht als unabhängig verifizierter Fakt, aber als ernstzunehmender Hinweis darauf, wie viel Streuverlust in diesem System steckt.
Breyer selbst bringt die Kritik an der Wirksamkeit auf ein Bild, das sitzt: „Mit anlassloser Massenüberwachung Kinder schützen zu wollen, ist, als würde man verzweifelt den Boden aufwischen, während der Wasserhahn einfach weiterläuft.” Der Chaos Computer Club setzt bei der Verschlüsselung selbst an: „Verschlüsselung ist entweder für alle sicher, oder für alle gebrochen.” Ein Einfallstor für Ermittler*innen ist technisch immer auch ein Einfallstor für alle anderen, die es finden.
Warum du auf keine Ausnahmeregelung mehr warten solltest
Genau hier liegt der Denkfehler, den die ganze Debatte um Chatkontrolle 1.0 und 2.0 begünstigt: Sie verleitet dazu, die eigene digitale Sicherheit an das Ergebnis der nächsten Parlamentsabstimmung zu koppeln. Kommt die Scan-Pflicht, oder kommt sie nicht. Bleibt die Ausnahme bestehen, oder fällt sie. Wer so denkt, verwaltet nur noch fremde Entscheidungen, statt selbst welche zu treffen.
Der 9. Juli 2026 hat gerade eindrücklich gezeigt, wie tragfähig dieses Vertrauen ist. Eine im März klar abgelehnte Position kam über ein Verfahrensloch zurück, gegen die Mehrheit der abstimmenden Abgeordneten, kurz vor der Sommerpause. Wer heute glaubt, sein Messenger sei sicher, weil das Gesetz gerade eine Ausnahme vorsieht, verlässt sich auf eine Rechtslage, die sich mit der nächsten Legislaturperiode, dem nächsten Verfahrenstrick oder der nächsten Kompromisslinie im Trilog wieder ändern kann. Die einzig verlässliche Antwort darauf ist, die eigene Kommunikation gar nicht erst so zu bauen, dass sie überhaupt scanbar oder zentral kontrollierbar ist, egal was Brüssel als Nächstes beschließt.
Matrix: wenn Verschlüsselung nicht mehr reicht
An dieser Stelle kommt Matrix ins Spiel, ein offenes, föderiertes Kommunikationsprotokoll. Föderiert bedeutet, dass es nicht den einen zentralen Anbieter gibt wie bei WhatsApp oder Signal, sondern viele einzelne Server, sogenannte Homeserver, die untereinander Nachrichten austauschen können, ähnlich wie E-Mail-Server unterschiedlicher Anbieter miteinander sprechen. Matrix verschlüsselt Nachrichten Ende zu Ende, das heißt, nur Sender*in und Empfänger*in können den Inhalt lesen, mit den Protokollen Olm für Einzelchats und Megolm für Gruppen.
Und hier gehört Ehrlichkeit dazu, weil die Recherche das eindeutig zeigt: Ende-zu-Ende-Verschlüsselung allein ist kein Alleinstellungsmerkmal von Matrix. WhatsApp und Signal verschlüsseln genauso Ende zu Ende. Das eigentliche Unterscheidungsmerkmal ist die Dezentralität. Bei einem selbst gehosteten Matrix-Server liegen Account-Daten, Verschlüsselungscodes und die gesamte Infrastruktur in deiner eigenen Hand oder der deines Vereins, deines Unternehmens, statt bei einem Konzern in Kalifornien, der jederzeit selbst zur Kooperation verpflichtet werden kann, ganz gleich, was europäisches Recht gerade vorschreibt oder nicht.
Für den eigenen Server gibt es mehrere Programme, die den Matrix-Standard umsetzen: Synapse ist die Referenzimplementierung, ausgereift, aber ressourcenhungrig. Dendrite ist schlanker, aber noch in der Beta-Phase. Als Alternative haben sich aus dem früheren Projekt Conduit zwei Nachfolgeprojekte entwickelt, Continuwuity und Tuwunel, beide in der Programmiersprache Rust geschrieben und quelloffen unter der Apache-2.0-Lizenz. Der frühere Name Conduwuit gilt laut der offiziellen Matrix-Ökosystem-Übersicht inzwischen als veraltet.
Dass das kein Nischenexperiment für Bastler*innen ist, zeigt sich an prominenten Nutzer*innen: Die Bundeswehr setzt seit 2021 auf den BwMessenger, eine Matrix-basierte Lösung, die für den Geheimhaltungsgrad VS-NfD zertifiziert ist, also für Verschlusssachen mit der niedrigsten Einstufung „Nur für den Dienstgebrauch”, und laut Anbieterangaben von über 100.000 Soldat*innen genutzt wird. Die französische Regierung betreibt mit Tchap einen eigenen Matrix-Dienst mit laut Anbieterangaben über 350.000 täglichen Nutzer*innen. Beide Zahlen stammen überwiegend aus herstellernahen Quellen und sind entsprechend als solche zu lesen, sie zeigen aber immerhin, dass selbst sicherheitssensible Institutionen dem Ansatz vertrauen.
Was Matrix nicht kann, ganz ehrlich
Ehrlich empfehlen heißt auch, ehrlich begrenzen. Matrix schützt in erster Linie Inhalte, nicht Metadaten. Wer mit wem wann kommuniziert, bleibt sichtbar, bei Föderation potenziell sogar auf mehreren beteiligten Servern gleichzeitig. Wer maximale Unsichtbarkeit will, bekommt sie hier nicht.
Der Wartungsaufwand für einen eigenen Server ist real. Für Privatpersonen ohne IT-Hintergrund ist Selbsthosting, also der eigene Betrieb eines Servers statt der Nutzung eines fremden Angebots, nur mit Unterstützung realistisch zu stemmen. Für Vereine oder kleine Unternehmen mit vorhandener Infrastruktur sieht die Rechnung schon deutlich besser aus. Und wie bei jedem Kommunikationsmittel gilt der Netzwerkeffekt: Der Umstieg lohnt sich vor allem dann, wenn das eigene Umfeld mitzieht, nicht wenn du als Einzige oder Einziger auf Matrix umsteigst und alle anderen bei WhatsApp bleiben.
Fällt ein privater Matrix-Server überhaupt unter die Chatkontrolle?
Diese Frage lässt sich nach aktuellem Recherchestand nicht mit letzter Sicherheit beantworten, und genau deshalb gehört sie hier auch so formuliert hin, nicht als beruhigende Behauptung. Der europäische Rechtsrahmen für Kommunikationsdienste, der European Electronic Communications Code, definiert „Anbieter” tendenziell als Akteure, die ihre Dienste normalerweise gegen Entgelt anbieten. Rein private Aktivitäten, wie ein Matrix-Server für Familie oder Verein ohne kommerzielles Angebot, dürften nach überwiegender rechtlicher Einschätzung typischerweise nicht darunterfallen. Eine Quelle, die das für den konkreten Fall der Chatkontrolle explizit bestätigt, gibt es aber nicht.
Vieles spricht also dafür, dass ein kleiner, nicht öffentlich beworbener Server für den eigenen Freundeskreis oder Verein aus dem Anwendungsbereich herausfällt. Ergänzend kommt der praktische Punkt hinzu: Ein solcher Server ist für Aufsichtsbehörden schlicht kaum auffindbar. Das ist eine Einordnung, keine Garantie, und wer auf Nummer sicher gehen will, sollte sie auch so behandeln.
Was jetzt zu tun ist
Der 9. Juli 2026 zeigt, dass sich Mehrheiten im EU-Parlament mit dem richtigen Verfahren umdrehen lassen, selbst gegen eine klare Ablehnung im Plenum. Wer seine digitale Kommunikation an das Fortbestehen einer Ausnahmeregelung koppelt, baut auf einem Fundament, das sich mit einer einzigen Abstimmung wieder verschiebt. Wer sie stattdessen so aufstellt, dass sie gar nicht erst zentral kontrollierbar ist, ist unabhängig davon, was in Brüssel als Nächstes verhandelt wird.
Wenn du selbst gehostete Kommunikation für dich, deinen Verein oder dein Unternehmen aufbauen willst und dabei nicht allein durch Homeserver-Konfiguration, Zertifikate und Serverwahl navigieren möchtest: Genau dafür begleite ich Umstiege auf Matrix und andere selbst kontrollierte Infrastruktur.
Reden wir über deine digitale Kommunikation.
Schreib mir eine E-Mail: Kurz beschreiben, was du vorhast oder was dich beschäftigt. Ich melde mich in der Regel innerhalb eines Werktages. hallo@chrislo.de
Kein Kontaktformular, keine Pflichtfelder, keine Datenspur. Einfach schreiben.