Elon Musk hat XChat veröffentlicht – eine weitere Messenger-App innerhalb von X, mit Dateiversand, selbstlöschenden Nachrichten und einer Verschlüsselung, die er als „Bitcoin-Style” beschreibt.

Was das konkret bedeutet, weiß niemand so genau. Sicherheitsexperten sind skeptisch, offene Protokolle fehlen, unabhängige Überprüfungen gibt es nicht.

Aber ehrlich gesagt ist XChat nicht das eigentliche Thema.

Es ist nur ein aktueller Anlass für eine Frage, die mich in der Praxis schon länger beschäftigt: Warum nutzen Unternehmen Messenger-Dienste, bei denen sie die Sicherheits- und Datenschutzfragen längst kennen – und handeln trotzdem nicht?

Vom Handwerker bis zum Vorstand

Ich erlebe das regelmäßig, bei Kunden, Agenturen und Dienstleistern – WhatsApp wird gerne genutzt. Nicht als bewusste Entscheidung, sondern als Selbstverständlichkeit. Vom Handwerksbetrieb, der Baustellenfotos verschickt, über den Vertrieb, der Kundenkontakte teilt, bis zum Marketingteam, das interne Freigaben über Gruppenchats organisiert. Und ja, auch auf Vorstandsebene.

Das ist keine Kritik an einzelnen Menschen oder Unternehmen. Es ist eine Beobachtung über ein Muster, das sich durch fast alle Branchen und Unternehmensgrößen zieht.

WhatsApp ist schnell. Es ist vertraut. Es ist mittlerweile auf jedem Smartphone und immer öfter auch auf Laptops. Und genau das macht es so schwer zu ersetzen – nicht weil es keine Alternativen gibt, sondern weil die Gewohnheit stärker ist als das Problembewusstsein.

Was alle wissen, aber viele ignorieren

Die datenschutzrechtliche Problematik von WhatsApp im beruflichen Kontext ist in Deutschland seit Jahren bekannt. Datenschutzbehörden haben sich dazu geäußert, Fachanwälte warnen regelmäßig, und wer sich auch nur kurz damit beschäftigt, findet genug Gründe zur Vorsicht.

Der Kern des Problems: WhatsApp überträgt sehr einfach das gesamte Adressbuch – also auch auf Kontakte, die der Nutzung nie zugestimmt haben. Im beruflichen Umfeld bedeutet das: Kundendaten, Lieferantenkontakte, Mitarbeiterdaten landen auf Servern von Meta, ohne dass die betroffenen Personen davon wissen oder eingewilligt haben. Das ist kein theoretisches Risiko. Das ist ein konkretes datenschutzrechtliches Problem.

Hinzu kommt: Wer als Unternehmen WhatsApp stillschweigend duldet oder aktiv einsetzt, trägt dafür Verantwortung. Nicht der Mitarbeitende, der schnell eine Nachricht schickt.

Solange nichts passiert

In vielen Unternehmen wird Datenschutz grundsätzlich sehr ernst genommen. Es gibt Richtlinien, Datenschutzbeauftragte, Prozesse. Aber bei Kommunikationswerkzeugen gilt plötzlich eine andere Logik.

Das ist ein gefährlicher Trugschluss. Denn wenn tatsächlich sensible Daten unfreiwillig an unbeteiligte Dritte übermittelt wurden, wenn ein Sicherheitsvorfall eintritt oder eine Datenschutzbehörde prüft, können die Konsequenzen drastisch sein. Bußgelder nach DSGVO sind keine Bagatellen. Und der Vertrauensverlust gegenüber Kunden und Partnern lässt sich in keiner Bilanz abbilden.

Bequemlichkeit ist dann kein Argument mehr.

Und „alle machen das so” erst recht nicht …

Es gibt einen anderen Weg

Ein Beispiel ist Element das auf dem offenen Matrix-Protokoll basiert. Element ist BSI-zertifiziert, wird von der NATO eingesetzt und bietet Unternehmen die Möglichkeit, Kommunikation vollständig unter eigener Kontrolle zu betreiben – auf eigenen Servern, mit offenen Protokollen, unabhängig überprüfbar. Das ist kein Nischenprodukt für Sicherheitsbehörden. Das ist eine professionelle Lösung für Organisationen, denen Daten tatsächlich wichtig sind.

Ja, die Einführung bedeutet Umstellung. Ja, es braucht etwas Gewöhnung. Ja, es kostet Geld und Aufwand. Aber das ist kein ausreichendes Gegenargument – es ist eine Frage der Prioritäten.

Genau das ist das Problem. Nicht die App. Die Haltung dahinter.

Daten sind keine Nebensache

In einer Zeit, in der Datensouveränität zunehmend zum strategischen Thema wird – nicht nur für Konzerne, sondern für jedes Unternehmen, das Kundendaten verarbeitet – sollte die Wahl eines Messenger-Dienstes keine Frage der Bequemlichkeit sein.

Es geht um Vertrauen. Das Vertrauen von Kunden, die nicht wissen, dass ihre Kontaktdaten auf fremden Servern landen. Das Vertrauen von Mitarbeitenden, deren private Kommunikation mit beruflicher vermischt wird. Und das Vertrauen in ein Unternehmen, das zeigt, dass es mit Informationen verantwortungsvoll umgeht. Das lässt sich nicht delegieren. Und es lässt sich nicht auf später verschieben.

ZURÜCK