Thought Leadership
3,5 Milliarden Telefonnummern konnten Forschende der Universität Wien über die Kontaktsuche von WhatsApp auslesen – in über der Hälfte der Fälle inklusive Profibild, bei knapp einem Drittel auch die Statuszeile.
Auch wenn diese Lücke inzwischen geschlossen wurde, zeigt sie, wie angreifbar ein globaler Massen-Messenger bleibt, wenn Metadaten und Komfortfunktionen nicht mitgedacht werden.
Spätestens seit dem WhatsApp-Skandal stellt sich für viele Organisationen die Frage: Soll für Vorstandsrunden, Krisenstäbe oder interne Chats derselbe Dienst laufen wie für Familiengruppen und Sportvereine? Noch dominieren US-Tools den Markt, privat und geschäftlich. Doch die US-Tools geraden immer mehr in einen Zielkonflikt. Auch wenn ihre Anbieter Datenschutzauflagen der EU berücksichtigen, bleiben sie Gesetzen wie dem CLOUD Act unterworfen. Im Hintergrund steht damit stets die Frage, wer im Zweifel Zugriff erhalten kann.
Wann ist ein Messenger europäisch?
Ein EU-Hauptsitz allein reicht nicht. Zur Rechtslage gehört, dass ein Messenger EU- oder EWR-Recht unterliegt, ohne parallel durch ausländische Zugriffsgesetze ausgehebelt zu werden. Inhalte, Metadaten und Backups liegen konsequent in Rechenzentren im EU-/EWR-Raum – nur dann ist klar, welches Gericht zuständig ist und welche Datenschutzstandards gelten.
Die Architektur muss Ende-zu-Ende-Verschlüsselung für Nachrichten, Dateien und Anrufe bieten; eine reine Transportverschlüsselung greift zu kurz. Standards wie Messaging Layer Security (MLS) sorgen dafür, dass auch große Gruppen sicher bleiben.
Transparenz heißt auditierbarer Quellcode, der unabhängige Sicherheitsprüfungen erlaubt, idealerweise auf Open-Source-Basis. Genauso wichtig ist die Integrationsfähigkeit: Ein europäischer Messenger lässt sich an bestehende Logins und Systeme anbinden und ermöglicht einen schrittweisen Ausstieg aus Big-Tech-Messengern, statt einen riskanten Big Bang zu erzwingen.
Standortunabhängig spielt eine Zero-Trust-Architektur eine zentrale Rolle: Weder Nutzergeräte noch Netzwerke werden per Default als vertrauenswürdig betrachtet, Identitäten und Zugriffe werden kontinuierlich überprüft.
Wire, Threma & Co: Messenger-Alternativen aus Europa
Wire kombiniert Ende-zu-Ende-verschlüsselte Chats, Dateiübertragung und Konferenzen. Kern ist MLS, das Gruppenkommunikation durchgängig verschlüsselt und dynamische Teams abdeckt. Serverstandorte in der EU, On-Premises-Optionen und Zertifizierungen nach ISO 27001 und ISO 27701 adressieren regulierte Branchen. Wire kommt in Konzernen für Vorstandskommunikation und in Behörden für vertrauliche Abstimmungen zum Einsatz.
Element baut auf dem offenen Matrix-Protokoll auf. Organisationen betreiben eigene „Homeserver“, die über standardisierte Schnittstellen verbunden sind; so entstehen sichere Kommunikationsräume über Behörden, Kommunen oder Unternehmensverbünde hinweg, ohne Infrastrukturhoheit abzugeben. Gleichzeitig verteilt Föderation Metadaten auf mehrere Betreiber. Regularien wie die NIS2 schreibt in diesem Kontext vor, Föderationsbeziehungen und Serverstandorte bewusst zu gestalten und kontinuierlich prüfen.
Proton, bekannt durch seinen verschlüsselten Maildienst, bündelt E-Mail, Dateiablage und VPN unter einer starken Datenschutzlogik. Für viele Organisationen bildet Proton die Basis für formale Kommunikation und Archivierung; für Chats und schnelle Abstimmungen lassen sich je nach Bedarf Wire, Element oder Threema ergänzen.
Threema setzt auf Ende-zu-Ende-Verschlüsselung und ein Zero-Metadata-Prinzip, bei dem so wenige digitale „Spuren“ wie möglich anfallen. Registrierung ohne Telefonnummer erleichtert die Trennung von Identität und Kanal. Mit Threema Work stehen Self-Hosting und anonymisierte Nutzerverwaltung bereit – interessant für NGOs und Verwaltungen. Mit Einschränkungen: Eine echte Multi-Device-Synchronisation fehlt bislang, der Desktop-Client bleibt an ein Smartphone gekoppelt, und föderierte Setups sind derzeit nicht vorgesehen.
Auf den Use Case kommt es an
Die Wahl des richtigen Messengers hängt immer vom konkreten Anwendungsfall ab. Für Organisationen mit hohen Datenschutz- und Compliance-Anforderungen bietet Wire das rundeste Paket: Ende-zu-Ende-Verschlüsselung, EU-Serverstandorte, On-Premises-Optionen und ISO-Zertifizierungen. Für Organisationen, die Datensouveränität ernst nehmen und gleichzeitig komfortable, sichere Kommunikation über Gruppen und Plattformen hinweg benötigen, ist Wire aktuell die umfassendste europäische Lösung. Damit eignet es sich für Vorstandskommunikation, Behörden und regulierte Branchen.
Andere europäische Messenger haben Einschränkungen: Threema fehlt echtes Multi-Device-Sync, Element/Matrix erfordert technischen Aufwand für Self-Hosting und föderierte Setups.
Mit Regulierungen wie NIS2, DORA und EU Data Act wird klar: Digitale Souveränität entscheidet sich im Alltag an konkreten Tools. Europäische Messenger sind dabei ein praktischer Schritt zu mehr Datensouveränität: im Office-Team ebenso wie im Sportverein.
