Am 9. Juli 2026 genau 2 Tage nach Beginn der parlamentarischen Sommerpause, hat das EU-Parlament in einer chaotischen Abstimmung die sogenannte „Chatkontrolle“ bis April 2028 verlängert. Für eine Ablehnung wäre eine absolute Mehrheit der Stimmberechtigten (einschließlich der Abwesenden) nötig gewesen. Somit wurde die Abwesenheit der Personen, die sich bereits in der Sommerpause befanden, wie eine Stimme dafür gewertet.
Was steckt dahinter, und was bedeutet das für Ihre E-Mail-Kommunikation?
Was genau wurde beschlossen?
Beschlossen wurde die Verlängerung einer Ausnahmeregelung, die seit 2021 existiert und großen Anbietern wie GMX, 1&1, IONOS, Web.de, Google (Gmail), Microsoft (Outlook) oder Meta „erlauben“ ihre unverschlüsselte Kommunikation – also auch E-Mails – automatisiert zu durchsuchen, ohne dass dies gegen europäisches Datenschutzrecht verstößt. Faktisch stellt dies eine Aufhebung des Briefgeheimnisses für E-Mail dar.
Diese Regelung war im April 2026 ausgelaufen, nachdem das Parlament eine Verlängerung zunächst abgelehnt hatte. US-Anbieter scannten nach eigenen Angaben trotzdem weiter. Am 9. Juli wurde die Ausnahme nun – über ein umstrittenes Eilverfahren und gegen eine denkbar knappe Mehrheit – reaktiviert. Ende-zu-Ende-verschlüsselte Dienste wie Signal oder Threema sind bisher ausgenommen. Der Rat der EU-Mitgliedstaaten muss noch zustimmen, die eigentlich brisantere, verpflichtende „Chatkontrolle 2.0“ mit staatlichen Scan-Anordnungen wird separat und weiterhin im Trilog verhandelt.
Warum das trotzdem relevant ist
Der feine Unterschied zwischen „freiwillig“ und „verpflichtend“ ändert für Sie als Nutzer praktisch wenig: Ihre E-Mails bei t-online, GMX, Web.de, Gmail, Microsoft oder anderen großen Diensten werden weiterhin ohne konkreten Verdacht, ohne richterliche Anordnung und ohne Ihr Wissen algorithmisch durchsucht. Fehlalarme – etwa harmlose Familienfotos – können dabei unbeteiligte Nutzer in Verdacht bringen. Und weil die Anbieter selbst entscheiden, ob und wie sie scannen, haben Sie als Nutzer keinerlei Kontrolle oder Transparenz darüber, was mit Ihren Inhalten geschieht.
Hinzu kommt: Bei US-Anbietern wie Microsoft oder Google gilt zusätzlich der US CLOUD Act. Er verpflichtet diese Unternehmen, US-Behörden auch auf in Europa gespeicherte Daten Zugriff zu gewähren – unabhängig davon, was europäisches Recht vorsieht. Die Chatkontrolle ist damit nur ein Baustein eines größeren Problems: Wer seine Kommunikation bei großen US-Providern hostet, gibt ein Stück Kontrolle über seine Daten dauerhaft ab.
Besonders kritisch: Berufsgeheimnisträger und DATEV-Nutzer
Für Behörden, Steuerberater, Wirtschaftsprüfer, Ärzte, Rechtsanwälte und andere Berufsgeheimnisträger ist das keine theoretische Diskussion. Wer z. B. über DATEV kommuniziert und dabei auf Microsoft-Maildienste zurückgreift, unterwirft die vertrauliche Mandantenkorrespondenz denselben Scan-Mechanismen – mit allen Risiken für die berufliche Schweigepflicht nach § 203 StGB. Auch vertrauliche E-Mail-Kommunikation innerhalb von Behörden oder von Behörden zu Bürgern ist diesen Mechanismen unterworfen. Ein automatisierter Scan unterscheidet nicht zwischen einem Missbrauchsfoto und einer sensiblen Steuerunterlage, einem ärztlichen Befund oder vertraulichen Informationen in einem Strafverfahren; er erkennt nur Muster, und die Entscheidungshoheit darüber liegt bei einem US-Konzern, nicht bei Ihnen oder Ihrem Mandanten / Kunden.
Was Sie jetzt tun sollten
Die Verlängerung der Chatkontrolle ist ein guter Anlass, die eigene E-Mail-Infrastruktur zu überdenken:
- Eigene Domain, eigener oder europäischer Mailserver statt Gmail, Outlook, aber auch 1&1, Ionos, web.de oder GMX, deren Server ebenfalls unverschlüsselt liegende Inhalte grundsätzlich unter diese Ausnahmeregelung fallen lassen können.
- Transportverschlüsselung und Authentifizierung (TLS, DANE, SPF/DKIM/DMARC) korrekt konfiguriert, damit Nachrichten nicht unnötig lange unverschlüsselt bei Dritten liegen.
- Klare Rechtslage: Ein in Deutschland gehosteter, DSGVO-konformer Mailserver unterliegt nicht dem US CLOUD Act und macht die Ausnahmeregelung für Ihre eigene Domain schlicht irrelevant.
Gerade für Vereine, Kanzleien und kleine Organisationen mit Vertraulichkeitspflichten ist der Umstieg technisch und finanziell überschaubar – und angesichts der aktuellen Entwicklung dringlicher denn je.
Wenn Sie weitere Informationen über unsere privaten Mailserver wünschen, besuchen Sie mail.hadiag.com. Sprechen Sie mich gerne an, wenn Sie prüfen möchten, wo Ihre E-Mail-Kommunikation aktuell steht und welche Schritte sinnvoll sind.
Hinweis: Die endgültige Zustimmung des Rates der EU-Mitgliedstaaten steht zum Zeitpunkt dieses Artikels noch aus. Die Rechtslage kann sich daher noch ändern.