Vor drei Wochen habe ich hier darüber geschrieben, wie Instagram leise abgeschaltet End-to-End-Verschlüsselung Direktnachrichten. Gleichzeitig geht Discord auf einer Ebene genau in die entgegengesetzte Richtung - Anfang März 2026 hat es eine Umstellung abgeschlossen, an der es seit fast zwei Jahren gearbeitet hat, und die Ende-zu-Ende-Verschlüsselung (E2EE) ist jetzt der Standardstatus für unterstützte Sprach- und Videoanrufe auf der Plattform. Sie müssen nichts mehr einschalten, kein versteckter Schalter in den Einstellungen.
Gleichzeitig kündigte Discord jedoch einen zweiten Schritt an, der sich gegen die Privatsphäre Nutzer: weltweite Einführung der Altersverifikation über biometrische Daten oder Ausweisdokumente. Und da weniger als ein Jahr zuvor Ausweis- und Passfotos von Zehntausenden von Nutzern durch die Zulieferer von Discord geleakt wurden, ist dies ein Schritt, den man sich besonders gut überlegen sollte. In diesem Text geht es also um beide Gesichter von Discord gleichzeitig - und was wir als Nutzer daraus lernen können.
Was Discord ist und wem es dient
Discord wurde 2015 als Voice-Chat für Gamer entwickelt, die sich beim Spielen mit geringer Latenz unterhalten wollten. Aber es ist schon lange über seine ursprüngliche Gamer-Nische hinausgewachsen. Heute ist es eine der größten Kommunikations- und Community-Plattformen der Welt - es gibt rund 200 Millionen monatlich aktive Nutzer, und mehr als die Hälfte von ihnen nutzt die Plattform nicht mehr in erster Linie zum Spielen. Sie finden dort Lerngemeinschaften, kreative Kollektive, Entwicklungsteams und Gemeinschaften rund um KI-Tools.
Die Grundeinheit sind Server - separate Räume, die in Text- und Sprachkanäle unterteilt sind. Daneben funktioniert die klassische private Kommunikation: Direkt- und Gruppennachrichten, Sprach- und Videoanrufe, Bildschirmfreigabe und Live-Übertragungen (Go Live). Die Anwendungen laufen auf dem Desktop, auf dem Handy, im Webbrowser und auf Spielkonsolen - und genau diese Vielfalt an Geräten ist der Schlüssel zum Verständnis der neuen Verschlüsselung.
Das DAVE-Protokoll und die Funktionsweise der Verschlüsselung
Discord hat die Verschlüsselung nicht auf der Lösung eines anderen Anbieters aufgebaut, sondern auf seinem eigenen Protokoll. DAVE (Diskord Audio & Video Ende-zu-Ende-Verschlüsselung), die er im September 2024 vorstellte. In Bezug auf die Vertrauenswürdigkeit halte ich drei Dinge für wesentlich, die sie von dem typischen Unternehmens-„Wir verschlüsseln, vertrauen Sie uns“ unterscheiden:
- DAVE wird freigegeben als offene Quelle (libdave-Bibliothek), so dass jeder seinen Betrieb überprüfen kann und nicht nur auf sein Wort vertrauen muss.
- Entwurf und Umsetzung extern auditiert Die Firma Trail of Bits und das Protokoll werden durch ein Bug Bounty Programm abgedeckt.
- Es verwendet einen modernen Standard für die Schlüsselverwaltung in Gruppen MLS (Messaging Layer Security, RFC 9420) in Kombination mit der WebRTC-Technologie.
Die Mechanismen sind vernünftig gestaltet. Die Verschlüsselungsschlüssel sind für jeden Anruf unterschiedlich und ändern sich jedes Mal, wenn ein Teilnehmer hinzukommt oder die Verbindung unterbricht - so kann ein Neuankömmling nicht entschlüsseln, was in dem Anruf zuvor gesagt wurde, und derjenige, der den Anruf verlässt, kann die Fortsetzung des Anrufs nicht abfangen. Discord kann technisch nicht auf den Inhalt der Gespräche während der Übertragung zwischen den Teilnehmern zugreifen. (Das bedeutet natürlich nicht, dass niemand das Gespräch abhören kann - jeder der Teilnehmer kann es aufzeichnen, auf dem Bildschirm freigeben oder einen angepassten Client verwenden. E2EE schützt den End-to-End-Pfad, nicht die Vertrauenswürdigkeit der Personen und der Software an beiden Enden).
Damit die Verschlüsselung wirklich flächendeckend eingesetzt werden kann, verlangt Discord außerdem, dass der Client das DAVE-Protokoll unterstützt, bevor er sich mit dem Anruf verbindet. Dass es dem Unternehmen damit ernst ist, zeigt ein Detail aus der Browser-Integration: Anstatt das Problem mit Firefox zu umgehen, hat es mit Mozilla zusammengearbeitet, um es direkt im Browser-Code zu beheben.
Ab Frühjahr 2026 gilt DAVE für Sprach- und Videoanrufe in Live-Gesprächen und Gruppen, für Sprachkanäle und für Go-Live-Übertragungen. Sie gilt nicht für Textnachrichten (mehr dazu weiter unten). Audio-/Videomodi bleiben ausgenommen Bühnenkanäle - ein Format, das für den öffentlich-rechtlichen Rundfunk für ein größeres Publikum konzipiert ist, bei dem eine Ende-zu-Ende-Verschlüsselung mit Moderation und dynamischem Publikum schwer zu tolerieren ist.
Wo der Schutz Grenzen hat
Es ist wichtig, hier genau zu sein, denn der wahre Wert solcher Ankündigungen liegt in den Details - und die Marketingphrase „wir verschlüsseln alles“ wäre irreführend.
Anrufe werden verschlüsselt, nicht schriftliche Nachrichten. Die Ende-zu-Ende-Verschlüsselung gilt für Sprache und Video. Textnachrichten werden bei Discord nicht verschlüsselt, und das Unternehmen sagt, dass es keine Pläne hat, dies zu tun - seine Textfunktionen wurden von Grund auf auf einem unverschlüsselten Prinzip aufgebaut, und eine Änderung würde eine große Überarbeitung der Architektur bedeuten. Schriftliche Inhalte unterliegen also weiterhin der Moderation. Discord ist daher kein geeignetes Werkzeug für sensible schriftliche Kommunikation, egal wie sicher die Gespräche sind.
Metadaten bleiben. Wie ich in meinem Artikel über Metadaten gegenüber Kommunikationsinhalten erörtert habe, schützt die Verschlüsselung Was denken Sie, nein. Das a mit wem sagen Sie zu sich selbst. Wer wen wann kontaktiert hat, wie lange der Anruf gedauert hat und von welchem Gerät aus, liegt außerhalb der Reichweite von E2EE. Für den Durchschnittsnutzer ist dies akzeptabel, für sensiblere Anwendungen ist es gut, dies zu berücksichtigen.
Trotz dieser Vorbehalte gehört Discord zu den sichersten Mainstream-Plattformen in Bezug auf Sprache und Video - und das in einer Zeit, in der mehrere konkurrierende Dienste in die entgegengesetzte Richtung gehen.
Das andere Gesicht: globale Altersverifikation
Die zweite Neuigkeit, die von Discord Anfang Februar 2026 bekannt gegeben wurde, geht gegen die Privatsphäre der Nutzer. Die Plattform führt schrittweise ein globale Altersüberprüfung (Alterssicherung). Jetzt startet jedes Konto im „Teenager-Standardmodus“ mit eingeschränkteren Funktionen und gefilterten Inhalten; Nutzer, die vollen Zugriff auf bestimmte Bereiche oder Einstellungen haben möchten, müssen ihr Alter nachweisen. Nach einer Welle der Kritik verschob Discord die Einführung auf die zweite Hälfte des Jahres 2026, hat das Prinzip aber nicht aufgegeben.
Grundsätzlich gibt es drei Möglichkeiten der Überprüfung. Gesichtsscan zur Altersschätzung aus dem Selfie-Video, das laut Discord ausschließlich auf dem Gerät des Nutzers stattfinden soll - nur die Altersgruppe, nicht das Gesichtsbild, soll an den Server übermittelt werden. Hochladen eines nationalen Personalausweises über einen externen Anbieter (global k-ID, in Großbritannien Persona), der laut Discord das Dokument kurz nach der Überprüfung löschen soll. Und dann läuft im Hintergrund automatisches Modell, die nach Angaben von Discord versucht, das Alter anhand des Alters des Kontos, des Geräts und anderer Betriebsdaten zu schätzen - nach Angaben des Unternehmens wird nur eine Minderheit der Nutzer den manuellen Verifizierungsprozess bestehen, während die meisten den Rest des Prozesses gar nicht bemerken werden.
Aus der Sicht des Marketings klingt das kulant. Aus Sicht des Datenschutzes hat das ganze Konstrukt jedoch einige große Schwachstellen, die in Gänze benannt werden müssen.
Keine dieser Garantien ist von außen überprüfbar. Dass der Gesichtsscan das Gerät nicht wirklich verlässt, dass der Anbieter das Dokument tatsächlich löscht, dass das Unternehmen nicht mehr als eine Altersgruppe erhält - all dies ist heute nur Discord und seinen Partnern bekannt. Der Discord-Client ist nicht quelloffen, die Audits der Anbieter sind begrenzt, und es gibt keine öffentlich überprüfbaren Verfahren, mit denen sich nachweisen ließe, dass ein Gesichtsbild nicht irgendwo durchsickert. Es handelt sich um das klassische „Vertrau uns“-Modell, gegen das sich DAVE wiederum bei Aufrufen definiert.
Das Risiko ist nachweislich vorhanden, nicht nur theoretisch. Im Oktober 2025 räumte Discord ein, dass es über seinen Anbieter von Kundensupport 5CA Daten von Nutzern, die sich in der Vergangenheit an den Support gewandt haben, durchgesickert - und zwar für etwa 70 Tausend von ihnen Nach den vorliegenden Informationen handelte es sich auch um Fotos von nationalen Personalausweisen, die sie bei Einsprüchen gegen die frühere Altersüberprüfung vorlegen mussten. Einige spätere Analysen sprechen von noch höheren Zahlen. Die Angreifer verschafften sich über ein kompromittiertes Konto eines Support-Mitarbeiters Zugang zu den Daten - nicht durch technische Mittel, sondern durch Social Engineering - und forderten dann von Discord ein Lösegeld. Dies ist ein Schlüsselmoment für das Verständnis der Natur des Problems: nicht Discord selbst, sondern sein Anbieter war der Wendepunkt. Genau das Modell, auf dem die gesamte neue Überprüfung basiert.
„Unmittelbar nach der Überprüfung gelöscht“ ist nicht dasselbe wie „nicht erstellt“. Auch wenn das neue System die Authentifizierung zu spezialisierten Anbietern wie k-ID und Persona verlagert, muss das Dokument zunächst zu ihnen gelangen. Der Weg vom Mobiltelefon des Nutzers zum Anbieter, der Aufenthalt des Nutzers in seiner Infrastruktur (wie kurz auch immer) und die tatsächliche Verwaltung der Zugriffsberechtigungen bleiben allesamt Bereiche, in denen Daten verloren gehen können. Und Zugangsdaten können im Gegensatz zu Passwörtern nicht gewechselt werden.
Der Voluntarismus ist eine Halbwahrheit. Discord erfüllt einen Teil des Rollouts als gesetzliche Verpflichtung (UK Online Safety Act, australische Gesetze, bald auch Brasilien), aber der globale Rollout ist seine eigene Entscheidung und der Regulierung in vielen Ländern voraus. Sie nannte es im Januar treffend EFFDiscord führt eine obligatorische Altersüberprüfung ein freiwillig, über das Maß der Pflicht hinaus - trotz der neuen Erfahrung, wie fragil Identitätsdaten in den Händen von Plattformen und deren Anbietern sind.
Und schließlich die Eliminierung. 15 Millionen erwachsene Amerikaner haben keinen Führerschein. In der Tschechischen Republik und in Europa im Allgemeinen sieht es mit dem Besitz eines Personalausweises besser aus, aber dennoch: Jeder obligatorische Identifikationsschritt schließt Menschen, die sich nicht ausweisen wollen oder können, von der anonymen Teilnahme aus. Das ist eine politische Entscheidung, kein technisches Detail.
Fazit: Bei den Anrufen hat Discord den Datenschutz deutlich vorangebracht, aber bei den Nutzeridentitäten hat es ihn zurückgedreht. Dass beides vom selben Unternehmen fast gleichzeitig gemacht wird, spricht für den Druck, unter dem große Plattformen heute stehen - und für die Tatsache, dass der Datenschutz nicht ein einzelner Punkt in den Einstellungen ist, sondern das Ergebnis vieler einzelner Entscheidungen.
Als Alternative zu anderen Plattformen nutzbar?
Das hängt davon ab, was Sie von dem Werkzeug erwarten, und es gibt keine allgemeingültige Antwort.
Für Gemeinschaften und Gruppen-Sprach- oder Videokommunikation Discord ist schwer zu ersetzen - die Kombination aus geringer Latenz, geräteübergreifender Unterstützung und jetzt auch End-to-End-Verschlüsselung macht es zu einer guten Wahl für Studiengruppen, Clubs, Spielepartys oder informelle Teams. In dieser Rolle nähert sich die neue Verschlüsselung dem Niveau, das sonst nur dedizierte Dienste bieten.
Für maximale private Textkommunikation aber es kann nicht empfohlen werden und es ist besser, zu einem Tool mit vollem E2EE zu greifen, auch für Nachrichten - typischerweise Signal, wo Texte und Anrufe verschlüsselt werden, oder WhatsApp, das Nachrichten und Anrufe standardmäßig verschlüsselt. (Ebenfalls fair: Die Metadaten verschwinden auch nicht - Telefonnummern, Zeitstempel, Kontaktlinks bleiben für den Betreiber sichtbar. Vollständige Anonymität ist mit keinem dieser Tools allein gegeben). Telegramm, verschlüsselt trotz seines guten Rufs nur „geheime Chats“, nicht aber reguläre Unterhaltungen. Für unternehmerisches Engagement Wenn der Schwerpunkt auf Benutzerverwaltung, Integration und Überprüfbarkeit liegt, sind Plattformen wie Slack oder Microsoft Teams sinnvoller, obwohl diese in der Regel keine vollständige Standard-E2EE für die gesamte Kommunikation bieten. Und für Akteure oder Gemeinschaften, die die volle Kontrolle über die Infrastruktur haben und die Identitätsebene vermeiden wollen, bieten sich selbst gehostete Lösungen wie Mumble, TeamSpeak oder offene Plattform Revolte, die auch durch einen gemeinsamen Beitrag auf Reddit gefördert wird, der mich zu dieser Aktualisierung führte.
Mit anderen Worten: Discord ist kein Ersatz für „alles“. Es ist ein sehr guter Ersatz, wenn es um Live-Gruppenkommunikation geht, ein schlechter Ersatz, wenn es um die schriftliche Privatsphäre geht - und ab 2026, wenn die Nutzer sich mit jeder Form von obligatorischem Alters- oder Identitätsnachweis unwohl fühlen.
Was man davon mitnehmen kann
Discord ist im Jahr 2026 ein klares Beispiel dafür, dass Datenschutz auf großen Plattformen nicht ein einziger Schalter ist, sondern die Summe vieler Entscheidungen, die gleichzeitig in verschiedene Richtungen gehen können. Auf der Ebene der Unterhaltungen hat Discord genau das getan, was es tun sollte - eine Ende-zu-Ende-Verschlüsselung als Standardzustand, Er hat es auf einem offenen, geprüften Protokoll aufgebaut und sich damit gegen den Trend einiger Wettbewerber gestellt. Das verdient Anerkennung ohne Ironie.
Bei der Nutzeridentität verhält es sich jedoch genau andersherum. Eine globale, flächendeckende Altersüberprüfung auf der Grundlage biometrischer Daten und verarbeiteter Dokumente von Dritten ist an sich schon ein Risiko - und im Zusammenhang mit dem Leck vom Oktober 2025 bleibt es auch bei der Rhetorik von „es ist nur auf dem Gerät“ und „löschen Sie es jetzt“ ein Risiko. Hier gibt es nichts zu kontrollieren. Dem Nutzer bleibt nur das Vertrauen in den Betreiber, seine Anbieter und deren Verfahren. Das ist genau das Modell, gegen das sich DAVE bei Anrufen elegant abgrenzt.
Die praktische Schlussfolgerung ist daher etwas unangenehm und lässt sich nicht in einem Satz zusammenfassen. Für die normale Gruppenkommunikation und Anrufe bleibt Discord auch nach 2026 nutzbar und in mancher Hinsicht sogar überdurchschnittlich gut. Aber für Menschen, die das Prinzip der Identifikationspflicht für eine private Kommunikationsplattform ablehnen - und dazu gehöre ich -, gibt es jetzt Grund, diese Entscheidung zu überdenken. Und für alle anderen gilt, was ich hier in jedem Artikel dieser Art wiederhole: Ein Abschnitt in einer Marketing-Ankündigung reicht nicht aus, um sich ein Bild von einer Plattform zu machen. Der Datenschutz wird nach dem Ganzen beurteilt, nicht nach den Schlagzeilen.
Die Informationen und Bewertungen in diesem Artikel beruhen auf öffentlich zugänglichen Quellen zum Zeitpunkt der Veröffentlichung und können sich im Laufe der Zeit ändern. Wir empfehlen, den aktuellen Stand der einzelnen Anwendungen direkt bei den Betreibern zu erfragen, bevor Sie eine Entscheidung treffen.
Čeština
English
Deutsch
Español
Français