WhatsApp-Verschlüsselung vor Gericht: Aus „theoretischer Hintertür" wird ein Gerichtsfall
Vor gut einem Jahr haben wir in unserem Artikel Warum WhatsApps Verschlüsselung eine Verarsche ist geschrieben, dass „immer die theoretische Möglichkeit" bestehe, dass WhatsApp eine Hintertür eingebaut habe. Damals war das eine vorsichtige Formulierung – ein „könnte", kein „ist". Seit Ende Januar 2026 ist aus diesem „könnte" ein handfester Gerichtsfall geworden. Und nicht nur einer: Gleich mehrere Verfahren in den USA werfen Meta vor, die beworbene Ende-zu-Ende-Verschlüsselung (E2EE) sei nicht das, was sie verspricht.
Höchste Zeit für ein Update. Wir schauen uns an, was konkret behauptet wird, wie das zu den Lücken passt, die wir damals schon beschrieben haben – und vor allem: was davon belegt ist und was reine Behauptung bleibt.
Worum geht es? Gleich mehrere Verfahren auf einmal
Wer die Schlagzeilen verfolgt, verliert schnell den Überblick, weil mehrere Sachen parallel laufen. Eine Übersicht des Strafverteidigers Jens Ferner bringt etwas Ordnung hinein – es sind im Kern diese Stränge:
Die internationale Sammelklage in San Francisco. Eingereicht Ende Januar 2026 von der Kanzlei Quinn Emanuel vor einem Bundesgericht im Nordbezirk Kalifornien. Geklagt hat eine Gruppe von Nutzern aus Australien, Brasilien, Indien, Mexiko und Südafrika, stellvertretend für die über drei Milliarden WhatsApp-Nutzer. Die Klage spricht von einer „kleptographischen Backdoor" und wirft Meta irreführende Geschäftspraktiken vor.
Eine Whistleblower-Klage seit September 2025. Hier geht es um einen ehemaligen WhatsApp-Mitarbeiter.
Eine Untersuchung des US-Handelsministeriums. Sie prüfte Aussagen ehemaliger Content-Moderatoren, die über den Dienstleister Accenture für Meta gearbeitet haben sollen. Pikant: Diese Untersuchung wurde im April 2026 laut Bloomberg abrupt eingestellt – ein Ermittler hatte zuvor über zehn Monate Material gesammelt und intern festgehalten, Meta speichere verschlüsselte WhatsApp-Nachrichten und könne sie lesen.
Die Klage des Bundesstaats Texas. Im Mai 2026 reichte das Büro von Generalstaatsanwalt Ken Paxton eine eigene Klage unter dem Texas Deceptive Trade Practices Act ein und fordert Zivilstrafen pro Verstoss.
Es ist also kein einzelner Querulant, sondern eine ganze Welle. Das macht die Sache interessant – sagt aber für sich genommen noch nichts über den Wahrheitsgehalt aus.
Der Kern des Vorwurfs: das „Task"-System
Im Zentrum aller Vorwürfe steht ein angeblicher interner Mechanismus. Laut Klageschrift müsse ein Meta-Mitarbeiter lediglich einen „Task", also eine Anfrage über ein internes System, an ein Engineering-Team senden, um Zugriff auf Chats zu erhalten. Dieser Zugriff werde dann oft „ohne jegliche Prüfung" gewährt.
Besonders brisant: Laut Darstellung der Kläger liessen sich die Nachrichten danach nahezu in Echtzeit und auch rückwirkend einsehen – ohne zusätzlichen Entschlüsselungsschritt. Genau das ist der Punkt, der über alles hinausgeht, was wir im Ursprungsartikel beschrieben haben. Es wäre eben nicht „nur" das bekannte Backup-Loch oder die Meldefunktion, sondern ein direkter Live-Zugriff auf laufende, eigentlich Ende-zu-Ende-verschlüsselte Kommunikation.
Wie passt das zu den Lücken, die wir längst beschrieben haben
Wer unseren ersten Artikel gelesen hat, kennt die realen Schwachstellen schon. Und genau hier wird es spannend, weil die Klage teils auf bekanntem, belegtem Terrain aufbaut – und teils weit darüber hinausschiesst.
Belegt und unbestritten:
- Unverschlüsselte Backups. Wer die E2EE-Backups nicht aktiv einschaltet, hat seinen Chatverlauf in Google Drive oder iCloud in einer Form liegen, auf die der Anbieter zugreifen kann. WhatsApp schreibt selbst in den Support-Dokumenten, dass Backups in der Cloud nicht durch die WhatsApp-E2EE geschützt sind. Verschlüsselte Backups gibt es zwar seit Ende 2021 – aber standardmässig sind sie nicht aktiv.
- Die Meldefunktion (Message Franking). Wird eine Nachricht gemeldet, werden die letzten fünf Nachrichten im Klartext an WhatsApp übertragen. Das ist ein bekannter, dokumentierter Mechanismus – und genau hier liegt der wahre Kern hinter der Accenture-Geschichte: Moderatoren sichten gemeldete Inhalte.
- Metadaten. Wer mit wem, wann, wie oft, von welcher IP – das alles wird erhoben und fällt nicht unter „Inhalt".
Behauptet, aber unbewiesen:
- Der angebliche Live-Zugriff per „Task" auf beliebige laufende Chats. Hier ist die zentrale Frage, ob die Aussagen der ehemaligen Moderatoren auf einem Missverständnis über den legitimen Melde-Mechanismus beruhen oder tatsächlich einen darüber hinausgehenden systematischen Zugang beschreiben. Das ist bislang ungeklärt.
Was ist belegt – und was nicht
An dieser Stelle lohnt sich Ehrlichkeit statt Empörung. Die Sammelklage stützt sich auf anonyme Whistleblower und liefert keinen technischen Beweis – keinen Code, keine Netzwerk-Mitschnitte, kein Audit, das eine kryptografische Hintertür belegt. Die Behauptungen sind zum jetzigen Zeitpunkt also unbewiesen.
Meta weist die Vorwürfe entsprechend scharf zurück und nennt die Klage „kategorisch falsch" und ein „absurdes Werk der Fiktion"; man setze seit einem Jahrzehnt auf das Signal-Protokoll.
Auch unabhängige Stimmen sind skeptisch. Kryptografie-Fachleute geben zu bedenken, dass eine Hintertür, die Milliarden Nachrichten entschlüsselt, extrem komplex und kaum zu verbergen wäre – Sicherheitsforschende analysieren regelmässig die Binärdateien der App. Eine flächendeckende Backdoor müsste irgendwann auffallen.
Das heisst aber nicht, dass „alles gut" ist. Die Trennung ist entscheidend:
- Die starke These (ein Knopf für Live-Zugriff auf jeden Chat) ist denkbar, aber nicht erhärtet.
- Das abgeschwächte Bild (Meta und Google kommen bei sehr vielen Nutzern faktisch an Inhalte – über unverschlüsselte Backups, über die Moderationspipeline, über Metadaten) ist dagegen belegt und kein Verschwörungsszenario.
Genau diese Vermengung ist es, die solche Klagen plausibel wirken lässt: Wer sagt „Meta kann meine Nachrichten lesen", liegt für die meisten Standard-Setups praktisch richtig – auch ohne dass die Live-E2EE selbst geknackt sein muss.
Der wunde Punkt bleibt: Closed Source
Warum lässt sich der Vorwurf nicht einfach widerlegen? Weil WhatsApp proprietäre Software ist. Ihr könnt den Quellcode nicht einsehen und nicht überprüfen, ob das ausgelieferte Programm wirklich das tut, was das Whitepaper behauptet. Das Signal-Protokoll selbst ist solide und öffentlich dokumentiert – aber das Vertrauen endet bei der konkreten Implementierung von Meta.
Genau das ist der Unterschied zu echten Privacy-Messengern: Bei Signal beziehungsweise dem Fork Molly ist der Code offen und nachvollziehbar, bei Matrix ebenso. Vertrauen muss man sich verdienen – und Nachprüfbarkeit ist die einzige seriöse Grundlage dafür.
Fazit: Ob die Klage gewinnt oder nicht – euer Risiko bleibt gleich
Spannend an den Verfahren ist weniger das Urteil, das ohnehin Jahre dauern kann, sondern was sie ans Licht bringen. Aber für die Praxis ändert das Ergebnis erstaunlich wenig: Solange ihr WhatsApp mit Standard-Einstellungen nutzt, sind eure Inhalte über unverschlüsselte Backups und die Meldefunktion ohnehin angreifbar – ganz unabhängig davon, ob es das „Task"-System in der behaupteten Form gibt.
Unsere Empfehlung ist deshalb dieselbe geblieben:
- Aktiviert mindestens die verschlüsselten Backups (und denkt daran: das bringt nur etwas, wenn auch euer Gegenüber es tut – sonst liegt euer Chat in dessen unverschlüsseltem Backup).
- Schränkt die Berechtigungen ein und nutzt auf GrapheneOS die Storage Scopes.
- Und wenn euch Privatsphäre wirklich wichtig ist: wechselt zu einem offenen, nachprüfbaren Messenger wie Signal/Molly oder Matrix.
Die ganzen praktischen Tipps haben wir im ursprünglichen Artikel zusammengefasst. Die Klagen sind ein gutes Druckmittel und ein wichtiges Signal – aber das eigentliche Problem ist und bleibt: Eine App, die ihr nicht überprüfen könnt, müsst ihr glauben. Und Glauben ist im Datenschutz die schwächste aller Garantien.
