Eine US-Bundesbehörde hat ihre Untersuchung gegen Meta eingestellt – obwohl interne Vorwürfe nahelegten, dass der Konzern die eigene Verschlüsselung von WhatsApp umgehen kann. Der Fall wirft ein Schlaglicht auf die fragwürdige Sicherheit von Ende-zu-Ende-verschlüsselten Diensten.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheit für KMU jetzt kostenlos entdecken
Operation Sourced Encryption: Was geschah wirklich?
Die Untersuchung mit dem internen Codenamen „Operation Sourced Encryption“ wurde vom Office of Export Enforcement innerhalb des Handelsministeriums (Bureau of Industry and Security, BIS) geführt. Im Zentrum stand der Vorwurf: Meta-Mitarbeiter und externe Dienstleister sollen technisch in der Lage gewesen sein, Nachrichteninhalte einzusehen – obwohl das Unternehmen diese als vollständig privat und für Dritte unzugänglich vermarktet.
Ausgelöst wurde die Prüfung durch eine Whistleblower-Beschwerde bei der US-Börsenaufsicht SEC im November 2024. Ein Ermittler des BIS sammelte daraufhin monatelang Dokumente und führte Interviews. Im Januar 2026 legte er einen Zwischenbericht vor, den er auch an die Federal Trade Commission (FTC) und die SEC weiterleitete.
Darin heißt es: Meta könne offenbar unverschlüsselte Nutzerdaten speichern und einsehen – darunter Textnachrichten, Fotos und Sprachaufnahmen. Ein gestaffeltes Berechtigungssystem soll bestimmten Mitarbeitern, darunter externen Auftragnehmern und internationalen Kräften, Zugriff auf diese Inhalte gewährt haben. Der Ermittler sprach von möglichen zivil- und strafrechtlichen Verstößen in mehreren Rechtsbereichen.
Behörde stoppt Ermittlungen – und distanziert sich
Doch dann kam alles anders: Kaum hatte der Ermittler versucht, mit anderen Bundesbehörden zu koordinieren, stellte die BIS-Führung die Untersuchung überraschend ein. Die Entscheidung fiel auf höchster Ebene – und wirft Fragen auf.
Eine Sprecherin des BIS, Lauren Weber Holley, erklärte, die Vorwürfe seien unbegründet. Die Behörde sehe sich als Exportkontrollbehörde nicht zuständig und verfolge derzeit keine Verfahren gegen Meta oder WhatsApp wegen Verstößen gegen Exportgesetze.
Meta selbst weist die Anschuldigungen entschieden zurück. Konzernsprecher Andy Stone bezeichnete sie als „völlig falsch“. Die Ende-zu-Ende-Verschlüsselung von WhatsApp stelle sicher, dass nur die Kommunikationsteilnehmer selbst die Inhalte lesen könnten. Die Behörde habe die Vorwürfe ja selbst verworfen – ein Beleg dafür, dass sie technisch unmöglich seien.
Klagewelle rollt: Millionen WhatsApp-Nutzer fordern Schadenersatz
Während die Bundesbehörde den Fall zu den Akten gelegt hat, lebt die Debatte vor Gericht weiter. Am 1. April 2026 reichten Kläger in einem Bundesgericht in Kalifornien eine Sammelklage ein. Darin werfen sie Meta und Auftragnehmern wie Accenture vor, private Nachrichten ohne Zustimmung der Nutzer abgefangen und gespeichert zu haben. Die Klage soll für alle WhatsApp-Nutzer in den USA gelten und stützt sich auf dieselben Whistleblower-Aussagen, die schon die Bundesermittlungen auslösten.
Die rechtliche Bilanz für Meta ist durchwachsen. Im März 2026 verurteilte eine Jury in New Mexico das Unternehmen zu einer Zivilstrafe von 375 Millionen US-Dollar (rund 350 Millionen Euro) in einem Fall um Kindersicherheit auf seinen Plattformen. In Nigeria hingegen einigte sich Meta auf einen vertraulichen Vergleich – die ursprünglich verhängte Strafe von 32,8 Millionen US-Dollar (etwa 30 Millionen Euro) wegen Datenschutzverstößen wurde fallen gelassen. Das Unternehmen musste lediglich die Anwaltskosten übernehmen.
Der Schutz sensibler Unternehmensdaten ist durch neue Cyberrisiken und gesetzliche Anforderungen komplexer geworden. Erfahren Sie in diesem Report, welche rechtlichen Pflichten Unternehmer jetzt kennen müssen, um proaktiv abgesichert zu sein. Kostenlosen Report zu neuen Cyberrisiken anfordern
Was bleibt von der Operation Sourced Encryption?
Die Einstellung der Ermittlungen lässt viele Fragen offen. Zwar hat das BIS den Fall offiziell beendet – doch die Weitergabe der Erkenntnisse an FTC und SEC könnte noch Folgen haben. Die FTC überwacht Metas Datenschutzpraktiken bereits seit einem Rekordvergleich über fünf Milliarden US-Dollar (rund 4,7 Milliarden Euro) aus dem Jahr 2019.
Branchenbeobachter sehen in dem Fall ein wachsendes Transparenzproblem: Je komplexer die digitale Infrastruktur wird, desto schwieriger wird es für unabhängige Prüfer, die Verschlüsselungsversprechen der Tech-Konzerne zu verifizieren. Der Ausgang des Rechtsstreits in Kalifornien könnte hier neue Maßstäbe setzen – und zeigen, ob die Beweise aus der kurzlebigen Bundesuntersuchung vor Gericht Bestand haben.
