Instagram ohne Ende-zu-Ende-Verschlüsselung – DSGVO-Verstoß?
Meta / Facebook

Instagram ohne Ende-zu-Ende-Verschlüsselung – DSGVO-Verstoß?

NOVALEX

Redaktion

19. Mai 2026 6 Min.

Instagram schaltet Ende-zu-Ende-Verschlüsselung ab – was bedeutet das für Ihre Daten?

Am 8. Mai 2026 hat Meta laut aktuellen Berichten die bislang optionale Ende-zu-Ende-Verschlüsselung (E2EE) für Instagram-Direktnachrichten deaktiviert. Als Begründung wird eine geringe Nutzerakzeptanz genannt. Gleichzeitig steht der Konzern international unter Druck von Strafverfolgungsbehörden und Kinderschutzorganisationen [1].

Für viele Nutzer klingt das zunächst technisch. Tatsächlich betrifft diese Entscheidung jedoch einen Kernbereich des europäischen Datenschutzrechts: die Sicherheit der Verarbeitung nach Art. 32 DSGVO.

Die entscheidende Frage lautet:

Verstößt Meta gegen die DSGVO, wenn es eine technisch verfügbare Ende-zu-Ende-Verschlüsselung bewusst abschaltet?

Dieser Beitrag analysiert die Rechtslage – und zeigt, wann ein Schadensersatzanspruch nach Art. 82 DSGVO in Betracht kommt.

Was ist Ende-zu-Ende-Verschlüsselung (E2EE) – und warum ist sie so wichtig?

Bei einer klassischen Transportverschlüsselung (z. B. TLS) werden Daten nur auf dem Übertragungsweg geschützt. Der Anbieter selbst kann die Inhalte technisch einsehen.

Ende-zu-Ende-Verschlüsselung (E2EE) bedeutet hingegen:

  • Nur Sender und Empfänger können die Nachricht lesen.
  • Selbst der Plattformbetreiber (hier: Meta) hat keinen Zugriff auf den Klartext.
  • Ein Angriff auf Serverinfrastruktur führt nicht automatisch zur Offenlegung der Inhalte.

Gerade bei privaten Direktnachrichten (DMs) werden regelmäßig hochsensible Inhalte geteilt:

  • Gesundheitsdaten
  • intime Fotos
  • politische Meinungen
  • Beziehungs- oder Familiendetails
  • berufliche Interna

Das Abschalten einer solchen Schutzmaßnahme ist daher keine rein technische Entscheidung, sondern eine datenschutzrechtlich relevante Weichenstellung.

Art. 32 DSGVO: Welche Sicherheit schuldet Meta?

1. Gesetzlicher Maßstab

Art. 32 DSGVO verpflichtet Unternehmen, ein „dem Risiko angemessenes Schutzniveau“ zu gewährleisten. Dabei sind insbesondere zu berücksichtigen:

  • Stand der Technik
  • Implementierungskosten
  • Art, Umfang, Umstände und Zwecke der Verarbeitung
  • Eintrittswahrscheinlichkeit und Schwere des Risikos

Wichtig: Die DSGVO verlangt keine absolute Sicherheit, aber eine risikoorientierte Schutzstrategie.

2. Ist E2EE „Stand der Technik“?

Ende-zu-Ende-Verschlüsselung ist im Jahr 2026 technisch etabliert und branchenüblich, insbesondere bei Messengerdiensten.

Meta selbst hatte E2EE bei Instagram-DMs bereits eingeführt – wenn auch optional. Das spricht dafür, dass:

  • die technische Umsetzbarkeit gegeben war,
  • die Implementierung wirtschaftlich tragbar ist,
  • E2EE als marktüblicher Sicherheitsstandard gilt.

Das bewusste Abschalten könnte daher rechtlich problematisch sein.

Neue Rechtsprechung zur Verschlüsselung: VG Düsseldorf und OLG Schleswig

Die aktuelle deutsche Rechtsprechung zeigt, wie Gerichte den Sicherheitsstandard bewerten.

VG Düsseldorf, Urteil vom 02.04.2026

Nach einem Bericht vom Mai 2026 entschied das VG Düsseldorf, dass bei einer E-Mail mit geringem Risiko (nur Name des Empfängers) eine TLS-Verschlüsselung ausreichend sein kann. Ein genereller Anspruch auf E2EE bestehe nicht [1].

Das Gericht betont damit den risikobasierten Ansatz des Art. 32 DSGVO.

OLG Schleswig, Urteil vom 18.12.2024

Anders beurteilte das OLG Schleswig die elektronische Übermittlung einer Rechnung über 15.000 Euro. Hier verlangte das Gericht eine Ende-zu-Ende-Verschlüsselung, weil ein erhöhtes finanzielles Risiko bestand [1].

Was bedeutet das für Instagram?

Die Rechtsprechung zeigt:

  • E2EE ist nicht immer zwingend,
  • aber bei erhöhtem Risiko erforderlich.

Instagram-DMs werden regelmäßig für besonders schützenswerte Inhalte genutzt. Anders als bei einer simplen Terminbestätigung per E-Mail ist hier typischerweise mit sensiblen Daten zu rechnen.

Das Risiko ist also strukturell höher.

Hat Meta mit der Deaktivierung gegen Art. 32 DSGVO verstoßen?

Eine pauschale Antwort ist nicht möglich – aber es gibt starke Argumente für eine DSGVO-Problematik.

Argument 1: Risiko ist vorhersehbar

Meta weiß, dass Instagram-DMs für sensible Kommunikation genutzt werden. Die Plattform wird millionenfach privat verwendet.

Das Risiko eines Datenmissbrauchs ist daher:

  • vorhersehbar,
  • systemimmanent,
  • nicht nur theoretisch.

Argument 2: E2EE war bereits implementiert

Wenn eine Schutzmaßnahme bereits vorhanden war, fällt es schwer zu argumentieren, sie sei technisch oder wirtschaftlich unzumutbar.

Das Abschalten könnte als bewusste Absenkung des Sicherheitsniveaus gewertet werden.

Argument 3: Staatlicher Druck rechtfertigt keine DSGVO-Verletzung

Der Bericht nennt politischen Druck von Strafverfolgungsbehörden als Hintergrund [1].

Doch selbst wenn Behörden Ermittlungsinteressen haben, gilt:

Die DSGVO kennt keine allgemeine Ausnahme für unternehmerische Kooperationsbereitschaft.

Sicherheitsstandards dürfen nicht aus rein strategischen Gründen abgesenkt werden.

Wann entsteht ein Schadensersatzanspruch nach Art. 82 DSGVO?

Ein DSGVO-Verstoß allein genügt nicht. Zusätzlich muss ein Schaden entstanden sein.

1. Mögliche Schadensszenarien

Ein Anspruch kommt insbesondere in Betracht, wenn:

  • Instagram-Nachrichten durch ein Datenleck offengelegt werden,
  • Unbefugte Zugriff auf sensible Inhalte erhalten,
  • intime Inhalte veröffentlicht oder weitergegeben werden,
  • Betroffene erhebliche Angst, Kontrollverlust oder Rufschäden erleiden.

Der EuGH hat in den letzten Jahren klargestellt, dass auch immaterielle Schäden ersatzfähig sind – etwa Kontrollverlust oder erhebliche Beeinträchtigung des Persönlichkeitsrechts.

2. Kausalität

Entscheidend ist, ob der Schaden bei bestehender E2EE vermeidbar gewesen wäre.

Beispiel:

  • Server werden gehackt.
  • Nachrichten liegen unverschlüsselt vor.
  • Inhalte werden kopiert.

Bei E2EE wären diese Inhalte für Angreifer unlesbar gewesen.

In solchen Konstellationen wird die Argumentation besonders stark.

Parallele Regulierungen: EU AI Act und Deepfake-Risiken

Am 7. Mai 2026 wurde eine vorläufige Einigung zum sogenannten „Digital Omnibus“ im Zusammenhang mit dem EU AI Act erzielt. Bestimmte Verbote – etwa zu KI-generierten nicht-einvernehmlichen intimen Bildern – treten bereits am 2. Dezember 2026 in Kraft [1].

Warum ist das relevant?

Instagram ist eine Hauptverbreitungsplattform für:

  • Deepfakes,
  • manipulierte intime Bilder,
  • KI-generierte Falschdarstellungen.

Je stärker regulatorische Anforderungen an Plattformen steigen, desto eher müssen diese auch ihre technischen Schutzmaßnahmen insgesamt erhöhen.

Eine gleichzeitige Absenkung der Kommunikationssicherheit (Abschalten von E2EE) steht in einem gewissen Spannungsverhältnis zu dieser Entwicklung.

Strategische Bedeutung für laufende Meta-Verfahren

Die Frage der Datensicherheit spielt auch in anderen Meta-Konstellationen eine Rolle, etwa bei:

  • Tracking und Profilbildung
  • Datenzusammenführung über Plattformen hinweg
  • Drittlandübermittlungen

Bereits mehrfach haben Gerichte Meta zu Schadensersatz verurteilt, etwa:

Auch bei systematischen Tracking-Vorgängen ohne wirksame Einwilligung wurden erhebliche Beträge zugesprochen, etwa im Zusammenhang mit Drittseiten-Tracking:

Die Gerichte zeigen zunehmend Bereitschaft, Datenschutzverstöße nicht als Bagatelle zu behandeln.

Was sollten Instagram-Nutzer jetzt tun?

1. Sensible Inhalte überdenken

Wer besonders vertrauliche Inhalte austauscht, sollte prüfen, ob Instagram-DMs derzeit das geeignete Medium sind.

2. Dokumentation im Schadensfall

Bei:

  • ungewöhnlichen Login-Vorfällen,
  • Hinweisen auf Datenlecks,
  • Veröffentlichung privater Inhalte,

sollten Beweise gesichert werden (Screenshots, E-Mails, Zeitpunkte).

3. Rechtliche Prüfung

Ob ein Anspruch besteht, hängt vom Einzelfall ab. Maßgeblich sind:

  • Art der betroffenen Inhalte,
  • konkrete Sicherheitslage,
  • eingetretener Schaden.

Fazit: Rechtliches Risiko für Meta ist real

Die Deaktivierung der Ende-zu-Ende-Verschlüsselung bei Instagram-DMs ist mehr als eine Produktentscheidung.

Sie betrifft unmittelbar:

  • Art. 32 DSGVO (Sicherheit der Verarbeitung),
  • Art. 5 Abs. 1 lit. f DSGVO (Integrität und Vertraulichkeit),
  • Art. 82 DSGVO (Schadensersatz).

Die aktuelle Rechtsprechung (VG Düsseldorf 2026, OLG Schleswig 2024) zeigt, dass Gerichte eine differenzierte, aber konsequente Risikobewertung vornehmen [1].

Sollte es künftig zu Datenpannen oder Missbrauch von Instagram-DMs kommen, wird die Frage im Raum stehen:

War das Abschalten der E2EE mit dem „Stand der Technik“ vereinbar?

Für Betroffene können sich daraus durchaus reale Schadensersatzansprüche ergeben.

Lassen Sie Ihren Fall prüfen

Wenn Sie betroffen sind – etwa durch:

  • Offenlegung privater Instagram-Nachrichten,
  • Veröffentlichung intimer Inhalte,
  • Kontrollverlust über sensible Kommunikation,

prüfen wir für Sie individuell, ob ein Anspruch gegen Meta besteht.

→ Jetzt kostenlos Anspruch prüfen

Quellen

[1] https://www.ad-hoc-news.de/wirtschaft/eu-ai-act-neue-fristen-und-schaerfere-regeln-fuer-kuenstliche-intelligenz/69336038

Lassen Sie uns für Ihr Recht kämpfen.

Vereinbaren Sie jetzt Ihre kostenlose Erstberatung – unverbindlich und vertraulich.

Jetzt Erstberatung anfordern
info@kanzlei-novalex.de