Die Nutzung von Messengerdiensten in Unternehmen und Organisationen wirft immer wieder Fragen zur datenschutzrechtlichen Zulässigkeit auf. Gerade weil diese Dienste im Alltag selbstverständlich erscheinen, ist eine differenzierte Betrachtung erforderlich, wenn sie in professionellen oder behördlichen Kontexten eingesetzt werden. Im Folgenden werden exemplarisch die rechtliche Einordnung von Messengerdiensten wie Signal, WhatsApp und Threema dargestellt, ihre datenschutzrechtlichen Besonderheiten erläutert und eine Empfehlung für den praktischen Einsatz abgeleitet.
1. Rechtliche Einordnung von Messengerdiensten
Nach der aktuellen Rechtslage in Deutschland werden Messengerdienste nicht lediglich als „Telemediendienste“, sondern als Telekommunikationsdienste im Sinne des Telekommunikationsgesetzes (TKG) bewertet. Grundlage hierfür sind die Begriffsbestimmungen in § 3 TKG. Dort heißt es: „Interpersonelle Telekommunikationsdienste sind Dienste, die (…) eine direkte interpersonelle und interaktive Kommunikation über elektronische Kommunikationsnetze zwischen einer endlichen Zahl von Personen ermöglichen“ (§ 3 Nr. 24 TKG). Werden diese Dienste nicht über klassische Telefonnummern, sondern unabhängig von Rufnummern erbracht, spricht man von „nummernunabhängigen interpersonellen Telekommunikationsdiensten“ („number-independent interpersonal telecommunicatons services“ (NI-ICS) gem. § 3 Nr. 25 TKG). Eine ausführliche Definition von Messenger-Diensten ist in diesem Fachbeitrag auf der Website der BfDI zu finden.
Grundsätzlich gilt somit: Telekommunikationsdienste unterliegen nicht nur der DSGVO, sondern auch dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) sowie speziellen Regelungen des TKG. Der Schutzstandard für Kommunikationsdaten liegt somit formal höher als bei vielen anderen Kommunikationslösungen.
Die regulatorische Aufsicht zudem wird nicht nur durch die datenschutzrechtlich zuständigen Landesdatenschutzbeauftragten wahrgenommen. Zuständig ist darüber hinaus die BNetzA (für das TKG) und die BfDI (für das Fernmeldegeheimnis/TDDDG).
Die Bundesnetzagentur (BNetzA) hat diese Einordnung in ihrem Hinweispapier zu Online-Kommunikationsdiensten (NI-ICS) im Jahr 2025 bestätigt: Anbieter von Messengern wie Signal, WhatsApp oder Threema sind in der Regel als nummernunabhängige interpersonelle Telekommunikationsdienste (NI-ICS) einzustufen und unterliegen damit den besonderen Pflichten des TKG.
Auch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verweist ausdrücklich darauf, dass OTT-Dienste wie Messenger als Telekommunikationsdienste zu behandeln sind:
Die marktüblichen Messenger, die der Allgemeinheit zugänglich sind, werden in der Regel gegen Entgelt erbracht, sodass es sich bei diesen regelmäßig auch um Telekommunikationsdienste handelt. Entgelt ist hier jedoch nicht nur in einem monetären Kontext zu verstehen, denn bei den meisten Messengern “zahlt“ der Nutzende anstelle einer Gebühr mit der Verwertung seiner Nutzerdaten.
Ebenfalls als „in der Regel gegen Entgelt erbrachter Dienst“ würden somit auch solche Dienste gelten, bei denen der Anbieter seinen Dienst aus unternehmerischen oder sozialen Gründen vorübergehend oder für bestimmte Bevölkerungsgruppen unentgeltlich erbringt. Eine Finanzierung aus Spenden und öffentlichen Zuschüssen schließt die Entgeltlichkeit nicht aus.
Messenger-Dienste, die als TK-Dienste eingestuft werden, sind somit nicht als klassischer Auftragsverarbeiter tätig, sondern agieren primär als eigener TK-Dienstanbieter und damit als datenschutzrechtlich Verantwortlicher.
2. Bedeutung des Fernmeldegeheimnisses
Das Fernmeldegeheimnis schützt nicht nur den Inhalt einer Kommunikation, sondern auch die sogenannten Verkehrsdaten, also wer wann mit wem kommuniziert. Diensteanbieter dürfen solche Daten ausschließlich verarbeiten, soweit dies für die technische Übermittlung, die Fehlerbehebung oder die Abrechnung erforderlich ist (§ 9 TDDDG). Während die DSGVO eine Vielzahl möglicher Rechtsgrundlagen für die Datenverarbeitung zulässt, gilt im Telekommunikationsrecht somit das Prinzip des Verbots mit Erlaubnisvorbehalt. Jede Nutzung von Kommunikations- oder Metadaten, die über die Übertragung hinausgeht, ist grundsätzlich untersagt.
3. Unterschiede zwischen einzelnen Messengerdiensten
Vor diesem Hintergrund unterscheiden sich die Dienste erheblich darin, wie sie mit den gesetzlichen Vorgaben umgehen:
Signal verfolgt ein minimales Datenmodell. Inhalte sind Ende-zu-Ende verschlüsselt, Metadaten werden weitgehend vermieden, und es gibt keine systematische Weitergabe an Dritte. Dies entspricht am ehesten der strengen Logik des TDDDG. Die BfDI hat Signal in Stellungnahmen als Telekommunikationsdienst eingeordnet.
WhatsApp ist technisch ebenfalls Ende-zu-Ende verschlüsselt, erhebt jedoch umfangreiche Metadaten (vgl. Datenschutzrichtlinie von WhatsApp). Dazu zählen Kommunikationspartner, Häufigkeit, Zeitpunkte und Geräteinformationen. Diese Daten werden nach der eigenen Datenschutzrichtlinie auch für Analyse, Missbrauchserkennung und die Integration mit Meta-Diensten verwendet. Damit bewegt sich WhatsApp in einem klaren Spannungsfeld zum TDDDG, das eine solche Weiterverarbeitung der Metadaten nicht zulässt.
Threema verfolgt, ähnlich wie Signal, einen datensparsamen Ansatz. Es handelt sich um einen kostenpflichtigen Dienst, der sich über Nutzungsgebühren finanziert. Auch hier gilt Ende-zu-Ende-Verschlüsselung, und Metadaten werden minimiert (vgl. Datenschutzinformation von Threema). Der Unterschied zu Signal liegt im Finanzierungsmodell: Threema ist ein klassisches „gegen Entgelt“ erbrachtes Angebot und fällt damit unproblematisch unter die Definition des TK-Dienstes.
4. Datenschutzrechtliche Konsequenzen für Unternehmen
Für Organisationen bedeutet diese Einstufung zweierlei: Erstens ist die Nutzung eines Messengers nicht allein an den Anforderungen der DSGVO zu messen, sondern auch an den strengeren Vorgaben des TDDDG. Zweitens sind die Anbieter in ihrer Rolle zu differenzieren. Während Dienste wie Slack oder Microsoft Teams häufig als klassische Auftragsverarbeiter auftreten, handeln Messenger-Dienste wie Signal, WhatsApp oder Threema als eigene Verantwortliche im Sinne der DSGVO. Das heißt: Das Unternehmen tritt nicht als Herr über die Datenverarbeitung auf, sondern kann lediglich die Eignung des Dienstes für den Einsatz im eigenen Umfeld bewerten.
Aus datenschutzrechtlicher Sicht spricht vieles für den Einsatz von Diensten wie Signal oder Threema. Beide Anbieter setzen technische und organisatorische Maßnahmen um, die den strengen Anforderungen des TDDDG entsprechen. Signal bietet darüber hinaus eine bewährte Non-Profit-Struktur, die eine Nutzung ohne kommerzielle Interessen an Metadaten sicherstellt.
Die Nutzung von WhatsApp hingegen ist in einem Unternehmenskontext höchst problematisch. Zwar ist die Ende-zu-Ende-Verschlüsselung ein starkes Sicherheitsmerkmal, die systematische Verarbeitung von Metadaten zu Zwecken jenseits der Übermittlung steht jedoch im klaren Widerspruch zu den gesetzlichen Vorgaben des Fernmeldegeheimnisses. Eine rechtssichere Begründung für den Einsatz von WhatsApp im professionellen Umfeld ist daher nur schwer möglich.
Edit (30.09.2025): Felix Neumann vom Artikel91-Blog kommt in seinem heutigen Artikel „Wer ist verantwortlich für Messenger-Dienste?“ zu analogen Ergebnissen und betrachtet darüber hinaus noch die praktischen Auswirkungen im kirchlichen Umfeld.
Sprechen wir miteinander!
Haben Sie Fragen zu Digitalisierung, Cybersicherheit oder Compliance für Ihr Unternehmen? Sind Sie Projektverantwortlicher, betrieblicher Datenschutzbeauftragter oder Compliancebeauftragter und möchten mit einem Sparrings-Partner auf Augenhöhe diskutieren? Und das Ganze am Besten ohne Panikmache und mit einem gesunden Schuss Pragmatismus? Dann sollten wir miteinander sprechen.
Der Autor
Falk Schmidt, LL.M. ist Projektberater für digitale Geschäftsprozesse, Cyber Security sowie zertifizierter Datenschutzbeauftragter und Datenschutz-Auditor Als Lehrbeauftragter an der Technischen Hochschule Mittelhessen (THM) vermittelt er Datenschutz-Themen an Studierende.
Die hier erscheinenden Artikel illustrieren seine private und/oder berufliche Meinung, stellen jedoch keine Rechtsberatung im Sinne des RDG dar.