Es wird immer umgeschlüsselt, aber das ist sicherheitstechnisch irrelevant. Das Risiko besteht nicht durch den Akt der Umverschlüsselung, sondern die Kenntnis des Schlüssels ist das Problem. Selbst wenn man also nicht alles umverschlüsseln würde, müsste die BRAK immer die Schlüssel kennen, um bei der Aktivierung der Funktion umzuschlüsseln.
Es gibt tatsächlich keine technische Lösung um End-to-End und die "Weiterleitungsfunktion" unter einen Hut zu bekommen. Von einem dieser beiden Funktionen muss man sich verabschieden. Man kann die Umverschlüsselung aber deutlich sicherer machen, als es aktuell der Fall ist.