Eine sachliche Übersicht für IT-Verantwortliche, Datenschutzbeauftragte und Behördenleitungen — ohne Produkt-Pitch. Stand: Mai 2026.
Auf einen Blick
Die meisten deutschen Behörden kommunizieren intern über Messenger, die für diesen Zweck rechtlich problematisch sind. Diese Seite erklärt verständlich, was DSGVO, BSI-Grundschutz und NIS2 von der öffentlichen Verwaltung verlangen — und welche souveränen Alternativen zu WhatsApp, Signal und Microsoft Teams existieren.
Sechs Aspekte, die in jeder fundierten Auseinandersetzung mit dem Thema vorkommen sollten.
Datenschutzkonferenz (DSK) und Landesdatenschutzbehörden haben sich mehrfach klar positioniert: WhatsApp, Signal und vergleichbare Dienste sind für die dienstliche Kommunikation in der öffentlichen Verwaltung nicht zulässig. Begründung: fehlende Auftragsverarbeitung nach Art. 28 DSGVO und Drittstaatentransfers ohne tragfähige Rechtsgrundlage.
Das IT-Grundschutzkompendium des BSI definiert in den Bausteinen APP.5.3 (Allgemeine Anforderungen) und CON.2 (Datenschutz) konkrete Mindestanforderungen an Messenger: serverseitige Härtung, sichere Schlüsselverwaltung, Audit-Trail und Schutz vor Datenabfluss in nicht-vertrauenswürdige Cloud-Strukturen.
Das NIS2UmsuCG verpflichtet öffentliche Stellen ab 2026 zu Risikomanagement, Vorfallsmeldung und Lieferkettensicherheit (§§ 30 ff.). Kommunikationsdienste fallen explizit unter „digitale Infrastruktur" — die Auswahl eines Messengers ist damit nicht nur Datenschutz-, sondern auch Compliance-Thema.
Souveränität bedeutet: Hosting in DE/EU, keine Drittstaatentransfers, Quellcode überprüfbar, Schlüsselhoheit beim Betreiber. Der US-CLOUD-Act bleibt der zentrale Grund, warum auch verschlüsselte US-Dienste für Behörden keine vollständige Lösung sind.
BwMessenger (Bundeswehr-Standard, basiert auf Matrix), Wire Enterprise (Schweiz/DE), Element Server Suite (Matrix, On-Premise möglich), Threema OnPrem (CH), Stashcat (DE) und Tixeo (FR/EU). Jede Lösung hat unterschiedliche Stärken in Föderation, Schlüsselverwaltung und Audit-Fähigkeit.
Verifizierbare BSI-/DSGVO-Konformität, AVV nach Art. 28, Schnittstellen zu LDAP/AD und E-Akte, MDM-Tauglichkeit (Intune/Workspace ONE), Klarheit zur Schlüsselhoheit, Open-Source- oder Source-Escrow-Option, vorhandene Referenzen in vergleichbaren Behörden.
bund.chat ist ein Produkt von SecTepe — einem inhabergeführten IT-Dienstleister aus Wülfrath (NRW), gegründet 2023.
Die Diskussion um sichere Kommunikation in der Verwaltung ist nicht neu — aber das Tempo, in dem Datenschutzbehörden, das BSI und nun NIS2 Anforderungen verbindlicher machen, hat zuletzt deutlich zugenommen. Mehrere Landesdatenschutzbehörden haben 2024/25 Bußgelder gegen Behörden verhängt, die unrechtmäßig Consumer-Messenger eingesetzt haben.
Gleichzeitig verschiebt sich das Marktangebot. Wo vor fünf Jahren nur eine Hand voll Spezialisten BSI-konforme Lösungen anbot, gibt es heute ein breites Feld etablierter Anbieter — vom BwMessenger über kommerzielle Lösungen bis zur quelloffenen Matrix-Variante. Die eigentliche Frage ist nicht mehr „ob", sondern „welche Lösung passt".
Antworten auf die Fragen, die in Erstgesprächen am häufigsten aufkommen. Steht Ihre Frage nicht dabei, schreiben Sie uns einfach.
Nein — der Einsatz von WhatsApp für die dienstliche Kommunikation in Behörden ist nach übereinstimmender Auffassung der deutschen Datenschutzkonferenz (DSK) und der meisten Landesdatenschutzbehörden datenschutzrechtlich unzulässig. Begründet wird das mit fehlender AVV nach Art. 28 DSGVO, Drittstaatentransfers ohne tragfähige Grundlage und mangelnder Kontrolle über Metadaten.
Ein Messenger gilt als souverän, wenn Hosting in der EU oder Deutschland erfolgt, keine Datenübertragung in Drittstaaten stattfindet, die Schlüsselhoheit nachvollziehbar beim Betreiber liegt und der US-CLOUD-Act sowie vergleichbare extraterritoriale Zugriffsrechte ausgeschlossen sind. Quelloffener Code oder Source-Escrow erhöhen die Prüfbarkeit.
Häufig eingesetzte Lösungen mit Behördenreferenzen sind unter anderem BwMessenger (Bundeswehr, Matrix-basiert), Wire Enterprise, Element Server Suite (Matrix), Threema OnPrem, Stashcat und Tixeo. Welche davon passt, hängt von Schutzbedarf, Föderationsanforderungen und vorhandener IT-Landschaft ab.
Das BSI definiert im IT-Grundschutzkompendium (Bausteine APP.5.3, CON.2) Anforderungen an Vertraulichkeit, Integrität, Verfügbarkeit und Auditierbarkeit. Für höheren Schutzbedarf empfiehlt das BSI eine technische Härtung, klare Schlüsselverwaltung und — wo machbar — On-Premise-Betrieb.
Mit dem NIS2UmsuCG werden öffentliche Stellen ab 2026 zu strukturiertem Risikomanagement (Art. 21 NIS2 / § 30 NIS2UmsuCG), 24-/72-Stunden-Meldewesen an das BSI und Lieferkettensicherheit verpflichtet. Die Auswahl von Kommunikationsdiensten fällt damit unter dokumentationspflichtige technische Maßnahmen.
Cloud-basierte Lösungen liegen typischerweise bei 3–8 € pro Anwender pro Monat. On-Premise-Lösungen amortisieren sich ab etwa 500 Nutzer:innen; Setup-Kosten liegen üblicherweise zwischen 20.000 und 80.000 €, gefolgt von laufenden Pflege-Pauschalen. Open-Source-Varianten reduzieren Lizenzkosten, erhöhen aber den Betriebsaufwand.
Erste Anlaufstellen sind das BSI (Beratung für Bund/Länder), die DSK-Veröffentlichungen sowie regionale CERTs. Für eine konkrete Auswahl-Beratung können auch IT-Dienstleister wie SecTepe (Wülfrath, NRW) angesprochen werden — diese Seite selbst verfolgt keinen Produkt-Verkauf.
Diese Seite informiert. Wenn Sie zu Auswahl, Pilot oder Vergleich konkreter Lösungen tiefer einsteigen wollen, vermitteln wir Ihnen gern ein neutrales Fachgespräch — ohne Produkt-Vertrieb.
Ihre Nachricht landet direkt bei SecTepe in Wülfrath — an hello@sectepe.de. Wir antworten in der Regel innerhalb eines Werktages.