Die vermeintliche Sicherheit von WhatsApps Ende-zu-Ende-Verschlüsselung steht vor ihrer größten Bewährungsprobe. Nachdem eine US-Bundesbehörde überraschend eine zehnmonatige Untersuchung zu den Datenschutzversprechen des Dienstes eingestellt hat, gewinnt eine Sammelklage in Kalifornien an Fahrt. Whistleblower und Ermittler erheben schwere Vorwürfe: Meta könnte über interne Systeme verfügen, die die Verschlüsselung umgehen – und das seit Jahren.
WhatsApp liest heimlich Ihre Chats – so schützen Sie sich jetzt dagegen. Ein kostenloser Ratgeber zeigt, wie einfach der Wechsel zu einer sicheren Alternative wirklich ist. In 5 Minuten weg von WhatsApp: So chatten Sie ab sofort völlig anonym
Operation Sourced Encryption: Die brisanten Funde
Die eingestellte Bundesermittlung mit dem internen Codenamen „Operation Sourced Encryption“ war durch eine Whistleblower-Beschwerde bei der US-Börsenaufsicht SEC im November 2024 ausgelöst worden. Der leitende Ermittler des Handelsministeriums kam in einer internen Mitteilung vom 16. Januar zu einem vernichtenden Urteil: Meta speichere WhatsApp-Nachrichten in unverschlüsselter Form und könne sie einsehen. Es gebe offenbar keine Grenzen – weder bei Textnachrichten noch bei Fotos oder Sprachnachrichten.
Im Zentrum steht ein abgestuftes Berechtigungssystem, das seit 2019 existieren soll. Meta-Mitarbeiter können demnach über ein internes Portal Zugriff auf private Chats beantragen. Ein Ingenieur muss die Anfrage nur freigeben – schon lassen sich Nachrichten über ein Widget anzeigen, das an die eindeutige Nutzerkennung gekoppelt ist.
Meta weist die Vorwürfe entschieden zurück. Das Unternehmen betont, dass die Verschlüsselung auf dem Signal-Protokoll basiere und die Schlüssel ausschließlich auf den Geräten der Nutzer gespeichert seien. Ein Zugriff sei technisch unmöglich.
Sammelklage in San Francisco: Millionen Nutzer betroffen
Während die Ermittlungen des Handelsministeriums eingestellt wurden, droht Meta in einem Zivilverfahren Ungemach. Die am 23. Januar 2026 eingereichte Sammelklage vertritt Nutzer aus Indien, Australien, Brasilien, Mexiko und Südafrika. Die Kläger werfen Meta vor, seine zwei Milliarden Nutzer getäuscht zu haben – die Verschlüsselung sei nicht so umfassend, wie beworben.
Die Klageschrift stützt sich unter anderem auf Aussagen eines ehemaligen Sicherheitschefs aus dem Jahr 2025. Dieser behauptete, rund 1.500 Ingenieure hätten uneingeschränkten Zugriff auf Nutzerdaten gehabt. Die Kläger sehen darin einen Vertragsbruch und Verstöße gegen Datenschutzgesetze, darunter das Pennsylvania Wiretapping and Electronic Surveillance Act.
Meta bezeichnet die Klage als „Fiktion“ und kündigt rechtliche Schritte gegen die beteiligten Anwälte an. Die Vorwürfe entbehrten jeder technischen Grundlage.
Neue Gerichtsentscheidung: Verschlüsselung als Haftungsrisiko
Die Diskussion um Metas Verschlüsselungspraxis bekommt zusätzliche Brisanz durch ein Urteil aus New Mexico vom 6. April 2026. Das Gericht vertrat die Auffassung, dass Verschlüsselung eine Designentscheidung sei, die Haftungsrisiken begründen könne. Die Staatsanwaltschaft argumentierte, Metas Entscheidung, Ende-zu-Ende-Verschlüsselung für Facebook Messenger einzuführen, habe die Bekämpfung von Kindesmissbrauch erschwert.
Parallel dazu verschärft sich der regulatorische Druck international. In Großbritannien ist der Online Safety Act von 2023 im Frühjahr 2025 in eine kritische Phase getreten. Seit dem 17. März 2025 kann die Regulierungsbehörde Ofcom neue Verhaltenskodizes durchsetzen – inklusive des Einsatzes zertifizierter Technologie zur Erkennung illegaler Inhalte. WhatsApp und Signal hatten zuvor gedroht, den britischen Markt zu verlassen. Bei Verstößen drohen Strafen von bis zu zehn Prozent des globalen Umsatzes.
Was WhatsApp wirklich mit Ihren Nachrichten macht, verunsichert Millionen Nutzer – die datenschutzfreundliche Alternative funktioniert fast genauso, nur ohne neugierige Mitleser. Datenschutz-Experten empfehlen: So richten Sie Telegram in wenigen Minuten sicher ein
Die Implementierungslücke: Theorie trifft Praxis
Der Kern des Skandals liegt im Unterschied zwischen der theoretischen Stärke des Signal-Protokolls und Metas konkreter Umsetzung. Datenschutzexperten betonen: Der Algorithmus selbst mag mathematisch einwandfrei sein – doch die umgebende Infrastruktur aus Cloud-Backups, Inhaltsmoderations-Tools und internen Engineering-Zugängen könnte Einfallstore bieten.
Warum die Bundesermittlung eingestellt wurde, bleibt offen. Branchenkenner spekulieren über Zuständigkeitskonflikte oder Anweisungen aus höheren Regierungsebenen. Elon Musk hat sich bereits öffentlich gegen WhatsApps Sicherheit ausgesprochen. Meta verteidigt seine Architektur weiterhin als Industriestandard für Verbraucherdatenschutz.
Europäische Weichenstellung: Ende der Selbstregulierung?
Die Entwicklungen in den USA und Europa deuten auf ein Ende der selbstregulierten Verschlüsselung hin. Ein bedeutender Schritt erfolgte am 26. März 2026: Das Europäische Parlament lehnte die Verlängerung einer Übergangsregelung ab, die Unternehmen das freiwillige Scannen von Nachrichten erlaubt hatte. Seit dem 4. April 2026 müssen große Tech-Konzerne in der EU das willkürliche Scannen einstellen – ein Erfolg für Digitalrechtler.
Doch die Bdung um „Client-Side Scanning“, bei dem Nachrichten vor der Verschlüsselung auf dem Gerät analysiert werden, bleibt auf der politischen Agenda. Für Meta wird der Rest des Jahres 2026 zur Bewährungsprobe. Sollte das Gericht in San Francisco die Offenlegung interner Systeme anordnen, könnte der Konzern gezwungen sein, die technischen Details seiner Zugriffssysteme preiszugeben. Dann würde sich zeigen, ob die Verschlüsselung tatsächlich so absolut ist, wie die Werbung verspricht.
