WhatsApp zwischen privatem Chat und neuen EU-Digitalregeln

Du willst eine Nachricht schicken und erwartest, dass sie sofort ankommt – egal ob an deine Familie, an die Sportgruppe oder an Kolleginnen und Kollegen. In der Praxis hängt das oft daran, ob alle dieselbe App nutzen. Genau dieses „Alle müssen bei WhatsApp sein“-Problem steht in der EU politisch unter Druck: Mit dem Digital Markets Act (DMA) will die EU großen Plattformen mehr Wettbewerb abringen und Nutzerinnen und Nutzern mehr Wahlfreiheit geben.

Für WhatsApp ist das besonders heikel, weil Messenger nicht nur Produkte sind, sondern Infrastrukturen. Sie verbinden Menschen, speichern Kontaktbeziehungen, schützen Inhalte per Ende-zu-Ende-Verschlüsselung (E2EE) und müssen gleichzeitig Spam, Betrug und Belästigung abwehren. Interoperabilität – also das Messaging über App-Grenzen hinweg – klingt simpel, berührt aber genau diese technischen und gesellschaftlichen Kernfragen.

In diesem Artikel klären wir, was die EU-Regeln konkret verlangen, wie WhatsApp und andere Anbieter das technisch überhaupt umsetzen können und welche realistischen Folgen das für deinen Alltag hat. Wichtig: Der DMA ist ein Gesetzestext von 2022 und damit älter als zwei Jahre; aktuelle Einordnungen stammen unter anderem aus einer BEREC-Stellungnahme von 2025 und aus technischen Analysen aus 2023.

Der Digital Markets Act (Verordnung (EU) 2022/1925) richtet sich an sogenannte „Gatekeeper“ – sehr große Plattformen, die für viele Menschen und Unternehmen als Zugangstor zu digitalen Märkten fungieren. Für Messenger ist dabei Artikel 7 zentral: Er verpflichtet Gatekeeper, Interoperabilität für nummernunabhängige interpersonelle Kommunikationsdienste (NI-ICS) zu ermöglichen. Übersetzt: Dienste wie WhatsApp sollen technisch so geöffnet werden, dass andere Messenger unter bestimmten Bedingungen Nachrichten austauschen können.

Das Ziel ist politisch und wirtschaftlich: Netzwerkeffekte brechen. Wenn du nur deshalb bei einer App bleibst, weil dein Umfeld dort ist, hat ein neuer Anbieter kaum Chancen. Interoperabilität soll diese Abhängigkeit reduzieren, ohne dass du dein soziales Umfeld „umziehen“ musst. Gleichzeitig betont der DMA, dass die Sicherheit erhalten bleiben muss – inklusive Ende-zu-Ende-Verschlüsselung, sofern sie genutzt wird.

Sinngemäß nach BEREC (2025): Eine Interoperabilitäts-„Referenzofferte“ muss so konkret sein, dass Drittanbieter Schnittstellen, Tests und Sicherheitsgarantien nachvollziehbar umsetzen und überwachen können.

Damit das nicht nur ein Grundsatz bleibt, muss ein Gatekeeper eine Referenzofferte veröffentlichen: ein Paket aus technischen und organisatorischen Bedingungen, in dem unter anderem Schnittstellen, Sicherheitsniveau, Testverfahren und Betriebskennzahlen beschrieben werden. BEREC – die europäische Regulierungsstelle im Telekommunikationsbereich – hat 2025 in einer Opinion zu Metas Referenzofferten betont, dass diese Angaben präzise, prüfbar und in der Praxis nutzbar sein müssen.

Im Alltag wirkt Messaging simpel: Nachricht tippen, senden, fertig. Technisch ist ein moderner Messenger aber ein ganzes System aus Identitäten, Schlüsselverwaltung, Zustellung, Synchronisation über mehrere Geräte und Schutzmechanismen gegen Missbrauch. Sobald zwei Anbieter miteinander sprechen sollen, müssen sie sich auf gemeinsame Regeln einigen – oder eine Art Übersetzungsmechanismus bauen.

Ein zentrales Wort dabei ist Ende-zu-Ende-Verschlüsselung (E2EE). Sie bedeutet: Nur die Endgeräte der Gesprächspartner können den Inhalt lesen; die Server sollen die Nachricht zwar transportieren, aber nicht entschlüsseln. Der DMA verlangt, dass dieses Sicherheitsniveau bei Interoperabilität erhalten bleibt. Meta beschreibt in öffentlichen Materialien zur Messaging-Interoperabilität verschiedene E2EE-Optionen, unter anderem die Nutzung des Signal-Protokolls oder einer gleichwertigen Implementierung. Das ist ein Hinweis darauf, dass Interoperabilität nicht über „Server lesen alles und leiten weiter“ laufen soll.

Wo liegt dann die Hürde? Schon die Frage „Wem gehört welcher Schlüssel?“ wird komplizierter. Innerhalb einer App kann ein Anbieter eine Verzeichnis- oder Transparenzstruktur pflegen, die Gerätewechsel und Schlüsselrotationen abfedert. Über App-Grenzen hinweg brauchst du Mechanismen, die verhindern, dass ein Angreifer (oder eine fehlerhafte Integration) Schlüssel austauscht und so unbemerkt „Man-in-the-Middle“-Angriffe ermöglicht. Forschung zu interoperabler E2EE diskutiert deshalb Bausteine wie Discovery (finden, welcher Dienst zuständig ist), Key-Material-Abruf und auditable Verzeichnisse.

Dazu kommt der unsichtbare Teil: Metadaten. Selbst wenn der Inhalt verschlüsselt bleibt, fallen Informationen an, etwa wer mit wem wann wie oft kommuniziert. Interoperabilität kann zusätzliche Metadatenflüsse erzeugen – zum Beispiel, wenn Provider gegenseitig Zustellinformationen, Rate-Limits oder Betrugssignale austauschen. Genau hier prallen Ziele aufeinander: Datenschutz und Minimierung von Datenübermittlung auf der einen Seite, Missbrauchsbekämpfung und Betriebssicherheit auf der anderen.

Auch die Nutzeroberfläche ist Teil der Sicherheit. Wenn du nicht klar erkennst, ob ein Chat „innerhalb WhatsApp“ oder „mit einem Drittanbieter“ läuft, können Erwartungsbrüche entstehen. BEREC und wissenschaftliche Analysen betonen deshalb, dass Interoperabilität nicht nur kryptografisch, sondern auch organisatorisch und in der Produktgestaltung sauber gelöst werden muss.

Politisch klingt Interoperabilität wie ein einfacher Hebel: Öffnen, und schon entsteht Wettbewerb. Wirtschaftlich ist es ein Eingriff in die Mechanik von Plattformmärkten. Gatekeeper haben starke Netzwerkeffekte und hohe Fixkosten, aber niedrige Grenzkosten pro zusätzlichem Nutzer. Interoperabilität verschiebt diesen Vorteil: Kleinere Anbieter könnten Nutzer gewinnen, ohne sofort ein eigenes gigantisches Netzwerk aufbauen zu müssen.

Für WhatsApp und andere große Messenger entsteht dadurch aber auch ein Risiko: Jede neue Schnittstelle ist ein neuer Angriffs- und Missbrauchspfad. Ein schlecht gesicherter Drittanbieter kann Spam und Betrug in ein Ökosystem einschleusen oder technische Störungen verursachen, die am Ende beim Gatekeeper als „WhatsApp ist unzuverlässig“ hängen bleiben. Deshalb dreht sich ein großer Teil der regulatorischen Debatte um Bedingungen, Tests, SLAs und das Recht, Integrationen bei echten Sicherheitsproblemen zu begrenzen.

Genau hier setzt die BEREC-Opinion zu Metas Referenzofferten an: Sie verlangt mehr Konkretheit, messbare Leistungs- und Verfügbarkeitskriterien und transparente Prozesse. Das ist nicht nur Bürokratie. Es ist ein Versuch, Interoperabilität von einer politischen Forderung in eine überprüfbare technische Realität zu übersetzen. Gleichzeitig kann zu viel Komplexität eine Markteintrittsbarriere werden: Wenn kleine Anbieter zunächst monatelang Vertrags- und Auditprozesse durchlaufen müssen, profitieren am Ende nur große „Challenger“ mit Compliance-Abteilungen.

Ein weiterer Spannungsbogen liegt beim geografischen Zuschnitt. Metas öffentliche Materialien beziehen sich ausdrücklich auf Europa und den europäischen Rechtsrahmen. Das reduziert Komplexität, erzeugt aber auch Fragen: Was passiert mit Nutzerinnen und Nutzern, die außerhalb Europas kommunizieren, reisen oder in grenzüberschreitenden Gruppen sind? BEREC fordert, dass solche Regeln und technische Mechanismen nachvollziehbar dokumentiert werden. Für Unternehmen ist das ein Kostenpunkt – und für Nutzer kann es bedeuten, dass Funktionen nicht überall identisch sind.

Und dann ist da noch der „unsichtbare Markt“ rund um Sicherheit: Abuse-Teams, Meldesysteme, automatisierte Erkennung von Spam, Support-Prozesse. Interoperabilität erweitert diese Arbeit auf mehrere beteiligte Provider, die unterschiedliche Standards, Sprachen und Risikoappetite haben. Technische Forschung zu interoperabler E2EE nennt Missbrauchsprävention deshalb als Pflichtbaustein – nicht als optionales Add-on. Diese Quelle ist von 2023 und damit älter als zwei Jahre; sie bleibt dennoch relevant, weil sie grundlegende Architekturkonflikte beschreibt, die sich nicht durch ein einzelnes Update erledigen.

Interoperabilität wird sehr wahrscheinlich nicht als „Schalter“ passieren, sondern als Reihe kontrollierter Schritte. BEREC verweist auf gestufte Funktionsumfänge im DMA-Kontext, bei denen Basisfunktionen früher und komplexere Funktionen später adressiert werden. In der Praxis heißt das: Zuerst könnten 1:1-Nachrichten und einfache Medienübertragung im Fokus stehen; Gruppen, Anrufe oder Video erfordern deutlich mehr Abstimmung und Sicherheitsarbeit.

Für deinen Alltag ist die wichtigste Frage weniger „Kann WhatsApp das?“, sondern „Wie merkt man es – und was bedeutet es für Sicherheit und Komfort?“ Ein realistisches Szenario ist, dass WhatsApp für Drittanbieter-Chats eigene Bereiche, Hinweise oder Einwilligungen (Opt-in) einführt. Metas Developer- und Engineering-Materialien zur Interoperabilität deuten auf formalisierte Partner-Onboarding- und Testprozesse hin. Das spricht dafür, dass WhatsApp nicht beliebige Verbindungen zulässt, sondern nur geprüfte Integrationen nach festgelegten Bedingungen.

Worauf lohnt sich zu achten, wenn solche Funktionen in Europa ausgerollt werden? Erstens auf klare Kennzeichnung: Wird sichtbar, mit welchem Dienst du gerade schreibst? Zweitens auf Schlüssel- und Sicherheitsmeldungen: Wenn sich Geräte oder Schlüssel ändern, sollte die App das erklären, ohne dich zu überfordern. Drittens auf Privatsphäre-Einstellungen: Interoperabilität braucht oft neue Formen der Erreichbarkeit (Discovery). Wer dich finden darf, ist dann nicht nur eine „Kontaktliste“-Frage, sondern potenziell auch eine Frage von Dienst-zu-Dienst-Abfragen und Rate-Limits.

Ein weiterer Punkt ist Missbrauch. Mehr offene Schnittstellen können auch mehr unerwünschte Kontaktversuche bedeuten. Hier wird relevant, welche Schutzmechanismen zwischen Providern vereinbart werden: Blockieren, Melden, Quarantäne für unbekannte Absender, Drosselung von Nachrichtenraten. Bei E2EE muss das ohne Inhaltsanalyse auskommen; das erhöht den Druck, mit Metadaten und Verhaltenssignalen vorsichtig, aber wirksam zu arbeiten.

Unterm Strich ist Interoperabilität eine Abwägung: Sie kann dir Wahlfreiheit geben, ohne dass du deinen Freundeskreis „missionieren“ musst. Gleichzeitig ist sie nur dann ein Gewinn, wenn sie transparent bleibt, Sicherheitsversprechen nicht verwässert und du als Nutzer nicht die ganze Komplexität managen musst. Genau deshalb ist die Qualität der EU-Digitalregeln nicht nur eine Rechtsfrage, sondern eine Frage der konkreten technischen Umsetzung.

WhatsApp steht in der EU zwischen zwei Erwartungen: Du willst private, verlässliche und sichere Chats – und die EU will, dass sehr große Messenger durch Interoperabilität weniger „abschottend“ wirken. Der Digital Markets Act setzt dafür einen Rahmen und verlangt Referenzofferten, Schnittstellen und Sicherheitsgarantien. BEREC drängt darauf, dass diese Vorgaben messbar und überprüfbar werden, statt nur auf dem Papier zu stehen. Technisch bleibt die größte Herausforderung, Ende-zu-Ende-Verschlüsselung, Schlüsselvertrauen, Missbrauchsschutz und saubere Nutzerführung gleichzeitig hinzubekommen. Interoperabilität kann gelingen, aber sie ist eher Ingenieursarbeit und Governance als ein Feature-Update. Wenn WhatsApp in Europa neue Wege für Drittanbieter-Chats öffnet, wird sich daran entscheiden, ob die EU-Digitalregeln mehr Wahlfreiheit bringen, ohne den Alltag komplizierter und unsicherer zu machen.