Die Bundesregierung steigt gemeinsam mit Frankreich, Polen und den Niederlanden aus US-Messengern für interne Zwecke aus. Stattdessen setzt Berlin auf die heimische Plattform Wire, um Cybersicherheitsrisiken zu minimieren und digitale Souveränität zu stärken. Der Schritt folgt auf eine Serie gezielter Phishing-Angriffe auf hochrangige europäische Amtsträger.
Vom Konsumentenprodukt zur Staatsinfrastruktur
Der Abschied von verschlüsselten Alltags-Apps wie WhatsApp und Signal markiert eine deutliche Verschärfung der digitalen Sicherheitspolitik im europäischen öffentlichen Sektor. Mitte April 2026 begannen mehrere EU-Staaten mit der finalen Einführung interner Nachrichtensysteme für Regierungszwecke. Diese Plattformen legen besonderen Wert auf Metadaten-Management, strenge Zugriffskontrollen und Prüffunktionen – Eigenschaften, die handelsüblichen Anwendungen oft fehlen.
Lücken im DSGVO-Verarbeitungsverzeichnis können Unternehmen teure Bußgelder kosten, besonders wenn die Dokumentationspflichten bei der digitalen Kommunikation vernachlässigt werden. Diese kostenlose Excel-Vorlage hilft Ihnen dabei, Ihr Verarbeitungsverzeichnis rechtssicher und zeitsparend zu erstellen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen
Für die deutsche Bundesverwaltung steht die Technologie des heimischen Anbieters Wire im Zentrum. Sie soll US-basierte Dienste für vertrauliche Gespräche zwischen Ministern und Beamten ersetzen. Belgien geht ähnliche Wege: Dort wurden Beamte angewiesen, ihre interne Kommunikation auf die staatseigene App BEAM umzustellen.
Phishing-Welle trifft Bundestagspräsidentin
Die Dringlichkeit des Umbaus unterstrich ein Vorfall am 24. April 2026: Bundestagspräsidentin Julia Klöckner war offenbar Ziel eines Angriffs mittels einer gefälschten Gruppenchats auf einer sicheren Messaging-Plattform. Bereits im Frühjahr hatten Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik (BSI) ähnliche Attacken als sicherheitsrelevant eingestuft. Ihre Warnung: Selbst Ende-zu-Ende-verschlüsselte Werkzeuge können Einfallstore für Spionage werden, wenn Authentifizierungsmechanismen kompromittiert sind.
WhatsApp-Kanäle: Der schmale Grat zur Bürgernähe
Während WhatsApp für die interne Regierungsarbeit tabu wird, bleibt es für die Kommunikation mit Bürgern unverzichtbar. Seit Ende 2024 hat sich die Channels-Funktion als zentrales Werkzeug deutscher Gemeinden etabliert. Anders als private Chats funktionieren Kanäle nach dem Einweg-Rundfunk-Prinzip – aus Sicht von Datenschutzexperten rechtlich weniger heikel als Zwei-Wege-Kommunikation.
Der Vorfall um die Bundestagspräsidentin zeigt, dass selbst erfahrene Akteure gezielten Manipulationsversuchen ausgesetzt sind. Unser kostenloses Anti-Phishing-Paket enthüllt die psychologischen Taktiken der Hacker und zeigt Ihnen in 4 Schritten, wie Sie Ihr Unternehmen effektiv schützen. Anti-Phishing-Paket jetzt kostenlos anfordern
Bis zur zweiten Jahreshälfte 2024 erreichten WhatsApp-Kanäle europaweit 46,8 Millionen monatlich aktive Nutzer. Diese Schwelle stufte den Dienst offiziell als „Very Large Online Platform“ (VLOP) unter dem EU-Digital Services Act (DSA) ein – eine Einstufung, die Anfang 2025 bestätigt wurde. Sie zwingt die Plattform zu strengster Regulierungsaufsicht, inklusive verpflichtender Risikobewertungen und verschärfter Inhaltsmoderation.
Meta passte seine Datenschutzrichtlinien am 16. Februar 2025 an diese Anforderungen an. Für deutsche Behörden schafft dieser Regulierungsstatus eine institutionelle Vertrauensbasis, die zuvor fehlte. Eine Studie vom Frühjahr 2024 zeigte: 25 Prozent der deutschen Internetnutzer nutzten WhatsApp bereits als Quelle für politische Informationen. Städte und Gemeinden setzen die Kanäle vor allem für Notfallwarnungen, lokale Verwaltungshinweise und Gemeindenachrichten ein – sie nutzen die hohe Reichweite, vermeiden aber die Metadaten-Risiken direkter Staat-Bürger-Chats.
BfDI und die Rechtsunsicherheit
Der rechtliche Rahmen für behördliches Messaging wird durch das Spannungsfeld zwischen dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) und verschiedenen Bundesbehörden geprägt. Prof. Dr. Specht-Riemenschneider, seit September 2024 im Amt, setzt die Bemühungen fort, die Bedingungen für die Nutzung kommerzieller sozialer Medien durch staatliche Stellen zu klären.
Mitte 2025 fällte das Verwaltungsgericht Köln ein richtungsweisendes Urteil zu Facebook-Fanpages der Regierung – mit direkten Folgen für WhatsApp. Das Gericht erlaubte dem Bundespresseamt die Fortsetzung seiner Social-Media-Aktivitäten, betonte aber, dass öffentliche Stellen nicht allein für die technische Datenverarbeitung Dritter haftbar gemacht werden können, die sie nicht kontrollieren. Der BfDI legte Berufung beim Oberverwaltungsgericht Münster ein. Er will endgültig klären lassen, ob die fehlende Rechtsgrundlage für Datenübermittlungen an US-Server ein dauerhaftes Hindernis für die behördliche Nutzung darstellt.
Um den Behörden in dieser Phase der Rechtsunsicherheit zu helfen, veröffentlichte der BfDI Ende 2025 einen Leitfaden. Er skizziert die Schritte für rechtskonforme digitale Kommunikation, betont „Privacy by Design“ und empfiehlt API-basierte Lösungen für jede öffentliche Interaktion auf WhatsApp. Diese Middleware-Plattformen ermöglichen eine klare Trennung von privaten und geschäftlichen Daten und stellen sicher, dass Löschfristen und Informationspflichten strikt eingehalten werden.
Koalitionsvertrag als Wegbereiter
Der aktuelle Kurswechsel ist auch das Ergebnis einer breiteren politischen Neuausrichtung. Der Koalitionsvertrag von CDU, CSU und SPD vom 14. April 2025 – überschrieben mit „Verantwortung für Deutschland“ – legte das Fundament für eine zentralisierte und souveräne digitale Infrastruktur. Er schlug eine Reform der Datenschutzaufsicht vor, die Kompetenzen für den privaten und öffentlichen Sektor unter einem gestärkten BfDI bündeln soll.
Kern dieser Strategie: die Reduzierung der Abhängigkeit von US-Technologie für staatliche Kernfunktionen. Während die Bundesregierung im Oktober 2025 die geplante EU-„Chatkontrolle“ blockierte – mit dem Argument, die Pflicht zur Durchsuchung verschlüsselter Nachrichten würde die Ende-zu-Ende-Verschlüsselung aushebeln und Grundrechte gefährden – trieb sie gleichzeitig die Entwicklung eines „souveränen Arbeitsplatzes“ für Amtsträger voran.
Branchenanalysten von Bitkom stellten Anfang 2025 fest: Der öffentliche Sektor habe zwar Fortschritte bei digitalen Diensten gemacht, die zugrundeliegende Infrastruktur müsse jedoch widerstandsfähig gegen ausländische Einflussnahme bleiben. Eine Bitkom-Studie zur Wirtschaftssicherheit von 2025 zeigte, dass 87 Prozent der deutschen Unternehmen in den vorangegangenen zwölf Monaten von Datendiebstahl oder Spionage betroffen waren – ein Beleg für die allgegenwärtige Bedrohungslage, der auch die öffentliche Verwaltung ausgesetzt ist.
Ausblick: Zweigleisige Strategie
Zum Ende der laufenden Legislaturperiode zeichnet sich eine Stabilisierung des zweigleisigen Ansatzes ab. Für interne vertrauliche Kommunikation werden Verbraucher-Apps wie WhatsApp und Signal voraussichtlich vollständig durch heimische Plattformen wie Wire oder dezentrale Protokolle wie Element ersetzt. Dieser Wandel gilt als notwendige Reaktion auf die weltweite Welle von Angriffen auf Benutzerkonten, die 2025 und 2026 gemeldet wurden.
Für nicht sensible öffentliche Dienstleistungen dürfte WhatsApp dagegen seine Schlüsselrolle behalten. Die Dominanz der Plattform – mit über 60 Millionen Nutzern in Deutschland – macht sie für die Bürgeransprache unverzichtbar. Allerdings bleiben die Nutzung der WhatsApp Business API und der Channels die einzig zulässigen Wege für Gemeinden, da diese Werkzeuge die vom BfDI geforderte Transparenz und Datenminimierung bieten.
Die endgültige Entscheidung über diese Strategie liegt beim laufenden Verfahren in Münster. Sollten die Gerichte zu dem Schluss kommen, dass der VLOP-Status und die DSA-Compliance von Meta ausreichen, um deutsche Datenschutzstandards zu erfüllen, könnte eine breitere Integration automatisierter Verwaltungsdienste über Messenger folgen. Bis dahin verharren die deutschen Behörden in einem Zustand „vorsichtigen Engagements“ – balancierend zwischen der Notwendigkeit der Bürgererreichbarkeit und dem absoluten Gebot der Staatssicherheit.
