Viele NPOs respektive ihre Mitarbeitenden und engagierte Menschen in den Gremien nutzen WhatsApp fast selbstverständlich: für Teaminterna, für den Austausch mit Ehrenamtlichen, für schnelle Absprachen, manchmal sogar für sensible Gespräche mit Klientinnen und Klienten. Das ist verständlich. Es funktioniert einfach, fast alle haben es schon installiert, und niemand muss lange erklärt bekommen, wie es geht.
Genau darin liegt das Problem.
Denn wer mit Menschen arbeitet, mit Vertrauen, mit Schutzbedürftigkeit, mit Vertraulichkeit, sollte sich nicht nur fragen, was am einfachsten ist. Sondern auch, welche Infrastruktur zu den eigenen Prinzipien passt.
Was WhatsApp schützt - und was nicht
WhatsApp verwendet standardmässig Ende-zu-Ende-Verschlüsselung. Das schützt die Inhalte von Nachrichten und Anrufen. Das ist real und wichtig. Der Inhalt einer Nachricht ist also nicht das ganze Problem.
Aber Verschlüsselung ist nicht dasselbe wie Datensparsamkeit.
WhatsApp verarbeitet weiterhin Informationen über Nutzung, Geräte, Verbindungen und Kontakte. Für NPOs ist genau das heikel. Denn oft ist nicht nur der Inhalt einer Nachricht sensibel, sondern schon die Tatsache, dass zwei Personen miteinander in Kontakt stehen: etwa mit einer Beratungsstelle, einem Verband, einer Selbsthilfegruppe, einer Schutzorganisation oder einem Projekt.
Das ist kein technisches Nebenthema. Das ist die eigentliche datenschutzrechtliche Frage.
Besonders unangenehm ist daran, dass viele Organisationen diese Ebene ausblenden, weil sie im Alltag unsichtbar wirkt. Man sieht die Metadaten nicht. Man merkt sie nicht. Aber sie entstehen trotzdem.
Der schnelle Überblick
| Signal | Threema | Telegram | ||
|---|---|---|---|---|
| Ende-zu-Ende-Verschlüsselung | ja | ja | ja | nur in Secret Chats |
| Umgang mit Metadaten | umfangreicher | sehr sparsam | sehr sparsam | nicht standardmässig datensparsam |
| KI-Funktionen im Messenger | ja | nein | nein | teilweise |
| Betreiber | Meta, USA | Signal Foundation, USA | Threema GmbH, Schweiz | Telegram |
| Kostenlos | ja | ja | nein | ja |
| Empfehlung für NPOs | nein | ja | ja | nein |
Das Problem beginnt oft schon vor der offiziellen Regelung
Viele Organisationen tun so, als sei WhatsApp gar kein echter Arbeitskanal. Offiziell läuft alles über Mail, Telefon oder irgendein anderes Tool. In der Praxis aber wird schnell doch über WhatsApp geschrieben, koordiniert und entschieden. Eben nur kurz. Eben schnell. Eben informell.
Genau diese Grauzone ist das Problem.
Denn datenschutzrechtlich zählt nicht nur, was offiziell auf dem Papier steht, sondern auch, was tatsächlich passiert. Wenn Mitarbeitende, Vorstände, Freiwillige oder Projektleitungen WhatsApp regelmässig für personenbezogene Kommunikation im Arbeitskontext nutzen und die Organisation das weiss, duldet oder stillschweigend einplant, dann ist das nicht einfach Privatsache. Dann gehört diese Nutzung auch in die Datenschutzrealität der Organisation.
Mit anderen Worten: "Offiziell nutzen wir das nicht" entlastet niemanden, wenn es trotzdem laufend genutzt wird.
Wer WhatsApp faktisch als Kommunikationskanal hat, sollte das in den internen Datenschutzunterlagen, in Richtlinien und in der eigenen Risikoabwägung nicht verschweigen. Und wenn externe Personen systematisch über diesen Kanal kontaktiert oder betreut werden, stellt sich auch die Frage nach transparenter Information nach aussen.
Meta AI - die nächste Grauzone
Das neueste Problem im selben Ökosystem ist Meta AI.
Meta hat seine KI-Funktionen in Europa über die eigenen Dienste ausgerollt, darunter auch WhatsApp. Wichtig ist dabei die präzise Unterscheidung: Nicht jede normale private WhatsApp-Nachricht wird automatisch für KI-Training verwendet. Aber wer direkt mit Meta AI interagiert, gibt Inhalte an ein KI-System von Meta. Und Meta hat klar gemacht, dass Interaktionen mit Meta AI zur Verbesserung der eigenen Modelle genutzt werden können.
Für Organisationen reicht das als Warnsignal völlig aus.
Denn sensible Informationen gehören nicht in ein Umfeld, in dem KI-Funktionen immer tiefer in die Alltagskommunikation eingebaut werden. Nicht weil jede Nachricht sofort ausgewertet würde. Sondern weil das System als Ganzes in eine Richtung gebaut wird, die für vertrauliche Kommunikation schlicht die falsche ist.
Wer professionell kommuniziert, sollte solche Grauzonen nicht verwalten müssen. Er sollte sie vermeiden.
Signal - der bessere Standard
Signal ist nicht einfach ein anderer Messenger. Signal ist ein anderer Ansatz.
Hinter dem Dienst steht die gemeinnützige Signal Foundation. Signal finanziert sich nicht über Werbung, nicht über Profilbildung und nicht über Datenhandel, sondern über Spenden. Der Dienst ist so gebaut, dass möglichst wenig verwertbare Informationen überhaupt anfallen.
Genau das macht den Unterschied.
Während bei grossen Plattformdiensten die Frage immer lautet, welche Daten noch verarbeitet, verknüpft oder ausgewertet werden können, ist die Logik bei Signal umgekehrt: möglichst wenig speichern, möglichst wenig wissen, möglichst wenig angreifbar sein.
Signal ist deshalb für NPOs nicht bloss eine technische Alternative, sondern die stimmigere Infrastruktur.
- keine Werbeplattform im Hintergrund
- keine integrierte Plattform-KI
- sehr sparsamer Umgang mit Metadaten
- quelloffen
- kostenlos
- alltagstauglich
Ja, die Server stehen in den USA. Das wird oft sofort eingewendet. Der wichtigere Punkt ist aber nicht nur der Standort, sondern was dort überhaupt liegt. Bei Signal fällt im Vergleich zu kommerziellen Plattformmessengern deutlich weniger Verwertbares an. Das ist für die Praxis entscheidend.
Wir nutzen Signal - und unterstützen es
Das ZfV setzt nicht nur auf Signal. Wir unterstützen den Dienst auch finanziell.
Aus einem einfachen Grund: Infrastruktur, die nicht auf Werbung, Profilbildung und Datenauswertung beruht, trägt sich nicht von selbst. Sie bleibt nur bestehen, wenn die, die sie wichtig finden, auch zu ihrem Erhalt beitragen.
So wie bei Wikipedia.
Wer eine andere digitale Infrastruktur will, muss sie auch stärken. Nutzen allein reicht nicht.
Threema - stark, aber mit Hürde
Threema ist eine starke Lösung. Schweizer Anbieter, datensparsamer Ansatz, keine Werbelogik, keine Meta-KI im Hintergrund. Wer Threema nutzt, macht keinen schlechten Entscheid.
Aber Threema ist kostenpflichtig. Für Einzelne ist das meist kein Problem. Für Teams, Ehrenamtlichenstrukturen oder grössere Gruppen kann genau diese Hürde dazu führen, dass am Ende doch wieder nicht alle mitgehen.
Und genau darum ist Signal für viele Organisationen der bessere gemeinsame Nenner: sicher, niedrigschwellig, gut vermittelbar und ohne Einstiegskosten.
Wer die Mittel und die passende Struktur hat, kann auch mit Threema gut fahren. Für viele NPOs ist Signal trotzdem der realistischere Standard.
Telegram - bitte nicht
Telegram wird oft in einem Atemzug mit Signal genannt. Das ist irreführend.
Normale Telegram-Chats sind nicht standardmässig Ende-zu-Ende-verschlüsselt. Echte Ende-zu-Ende-Verschlüsselung gibt es dort nur in den separaten Secret Chats. Sie sind ein Sondermodus, nicht der Standard. Und genau das ist der Punkt.
Wer vertrauliche Kommunikation ernst nimmt, sollte sich nicht auf Funktionen verlassen müssen, die zuerst bewusst aktiviert werden müssen und dann nicht einmal für alle Kommunikationsformen gleich gelten. Sicherheit muss Voreinstellung sein, nicht Spezialwissen.
Telegram mag schnell wirken, gross wirken, alternativ wirken. Für sensible Organisationskommunikation ist es trotzdem keine überzeugende Lösung.
Es geht nicht nur um Technik
Organisationen wie das ZfV reden nicht nur über Verantwortung. Wir versuchen, sie praktisch werden zu lassen.
Wer digitale Souveränität wichtig findet, sollte nicht einfach im bequemsten System bleiben.
Wer Schutz ernst nimmt, sollte sensible Kommunikation nicht in einem datengetriebenen Plattformökosystem normalisieren.
Wer Gemeinwohl sagt, sollte auch digitale Gemeingüter stärken.
Darum setzt das ZfV auf Signal.
