Telegram Datenschutz: Ist der Messenger sicher?

Telegram und Datenschutz — Ein kritischer Überblick

Telegram gehört mit über 900 Millionen aktiven Nutzern weltweit zu den beliebtesten Messenger-Diensten. Doch wie steht es um den Datenschutz bei Telegram? Gerade für Unternehmen in Deutschland ist diese Frage entscheidend, denn die Datenschutz-Grundverordnung (DSGVO) stellt hohe Anforderungen an die Verarbeitung personenbezogener Daten. In diesem umfassenden Ratgeber analysieren wir als externe Datenschutzbeauftragte die Verschlüsselung, Datenspeicherung und DSGVO-Konformität von Telegram und zeigen, welche Alternativen es gibt.

Telegram wurde 2013 von den Brüdern Nikolai und Pawel Durow gegründet und hat seinen Sitz offiziell in Dubai. Das Unternehmen wirbt mit Sicherheit und Privatsphäre — doch bei genauerer Betrachtung zeigen sich erhebliche Datenschutz-Lücken, die Unternehmen und Privatpersonen kennen sollten.

Verschlüsselung bei Telegram: Standard-Chats vs. Geheime Chats

Standard-Chats — Keine Ende-zu-Ende-Verschlüsselung

Was viele Nutzer nicht wissen: Normale Telegram-Chats sind nicht Ende-zu-Ende-verschlüsselt. Telegram verwendet für Standard-Chats lediglich eine Server-Client-Verschlüsselung. Das bedeutet, dass die Nachrichten zwar auf dem Transportweg verschlüsselt sind, auf den Telegram-Servern jedoch im Klartext vorliegen. Telegram hat damit theoretisch Zugriff auf alle Nachrichten, Bilder, Videos und Dateien, die über normale Chats gesendet werden.

Dies betrifft auch Gruppenchats und Kanäle, die grundsätzlich nur mit Server-Client-Verschlüsselung arbeiten. Für Unternehmen, die sensible Geschäftsinformationen austauschen, stellt dies ein erhebliches Risiko dar. Vertrauliche Kundendaten, interne Strategien oder Personaldaten könnten potenziell von Telegram eingesehen werden.

Geheime Chats — Ende-zu-Ende-Verschlüsselung mit Einschränkungen

Telegram bietet mit den sogenannten „Geheimen Chats“ (Secret Chats) eine Ende-zu-Ende-Verschlüsselung an. Diese nutzt das proprietäre MTProto-2.0-Protokoll. Geheime Chats bieten folgende Sicherheitsmerkmale:

• Ende-zu-Ende-Verschlüsselung: Nur Sender und Empfänger können die Nachrichten lesen
• Selbstzerstörende Nachrichten: Timer-Funktion für automatisches Löschen
• Keine Weiterleitung: Nachrichten können nicht weitergeleitet werden
• Screenshot-Benachrichtigung: Der Absender wird über Screenshots informiert
• Keine Cloud-Speicherung: Nachrichten werden nur lokal gespeichert

Die Einschränkungen sind jedoch gravierend: Geheime Chats funktionieren nur zwischen zwei Personen, nicht in Gruppen. Sie sind gerätegebunden und können nicht auf mehreren Geräten synchronisiert werden. Außerdem muss der Nutzer diese Funktion aktiv auswählen — sie ist nicht die Standardeinstellung. In der Praxis nutzen die wenigsten Anwender geheime Chats regelmäßig.

Das MTProto-Protokoll — Kritik aus der Fachwelt

Telegrams eigenes Verschlüsselungsprotokoll MTProto steht in der Kryptographie-Community in der Kritik. Anders als das bewährte Signal-Protokoll, das von Signal, WhatsApp und anderen genutzt wird, wurde MTProto nicht von unabhängigen Kryptographen entwickelt. Experten bemängeln, dass ein selbst entwickeltes Protokoll ein höheres Risiko für Sicherheitslücken birgt als etablierte, vielfach geprüfte Standards.

Datenspeicherung in der Cloud — Das zentrale Problem

Eines der größten Datenschutz-Probleme bei Telegram ist die zentrale Cloud-Speicherung. Alle Nachrichten, Medien und Dateien aus Standard-Chats werden auf Telegram-Servern gespeichert. Telegram verteilt die Daten auf Server in verschiedenen Ländern — die genauen Standorte werden nicht vollständig offengelegt.

Für Unternehmen, die der DSGVO unterliegen, ist dies problematisch: Die Daten können sich in Drittländern außerhalb der EU befinden, für die kein Angemessenheitsbeschluss der EU-Kommission vorliegt. Damit fehlt die rechtliche Grundlage für eine solche Datenübermittlung. Telegram gibt in seinen Datenschutzrichtlinien zwar an, dass Daten verschlüsselt gespeichert werden, doch die Schlüssel werden vom Unternehmen selbst verwaltet.

Darüber hinaus speichert Telegram folgende Daten:

• Kontaktdaten: Telefonnummern aus dem Adressbuch (sofern freigegeben)
• Metadaten: IP-Adressen, Geräte-Informationen, Nutzungszeiten
• Profildaten: Name, Nutzername, Profilbild, Bio
• Nachrichteninhalte: Alle Standard-Chat-Nachrichten auf den Servern

Telegram vs. Signal vs. WhatsApp — Datenschutz-Vergleich

Telegram für Unternehmen — Datenschutzrechtliche Bewertung

Aus Sicht eines externen Datenschutzbeauftragten ist der Einsatz von Telegram in Unternehmen mit erheblichen Risiken verbunden. Die wesentlichen Problemfelder sind:

1. Fehlender Auftragsverarbeitungsvertrag (AVV)

Telegram bietet keinen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO an. Für Unternehmen, die Telegram dienstlich nutzen, ist dies ein fundamentales Problem, da die DSGVO einen solchen Vertrag zwingend vorschreibt, wenn personenbezogene Daten durch einen Dritten verarbeitet werden. Ohne AVV liegt ein Verstoß gegen die DSGVO vor.

2. Datenübermittlung in Drittländer

Die Server-Standorte von Telegram befinden sich teilweise außerhalb der EU. Ohne einen Angemessenheitsbeschluss oder geeignete Garantien nach Art. 46 DSGVO ist die Übermittlung personenbezogener Daten in diese Länder unzulässig. Die Vereinigten Arabischen Emirate, wo Telegram seinen Sitz hat, verfügen über kein adäquates Datenschutzniveau im Sinne der DSGVO.

3. Kontaktdaten-Upload

Bei der Installation und Nutzung von Telegram werden standardmäßig Kontaktdaten aus dem Adressbuch an die Telegram-Server übertragen. Dies betrifft auch Kontakte, die Telegram nicht nutzen und damit keine Einwilligung erteilt haben. Für Unternehmen kann dies einen Verstoß gegen Art. 6 DSGVO darstellen, da keine Rechtsgrundlage für diese Datenübermittlung besteht.

4. Mangelnde Transparenz

Telegrams Datenschutzerklärung erfüllt nicht alle Anforderungen nach Art. 13 und 14 DSGVO. Es fehlen klare Angaben zu Speicherfristen, konkreten Empfängern der Daten und den genauen Verarbeitungszwecken. Die Informationen über Server-Standorte und Datenweitergabe sind vage formuliert.

5. Kein EU-Vertreter benannt

Telegram hat lange Zeit keinen Vertreter in der EU nach Art. 27 DSGVO benannt. Zwar wurde mittlerweile ein Büro in Brüssel eingerichtet, doch die Zusammenarbeit mit europäischen Datenschutzbehörden bleibt hinter den Erwartungen zurück.

DSGVO-Bewertung: So bewerten Aufsichtsbehörden Telegram

Deutsche und europäische Datenschutzaufsichtsbehörden haben Telegram wiederholt kritisch bewertet. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat bereits 2021 ein Verfahren gegen Telegram eingeleitet. Die wesentlichen Kritikpunkte der Behörden umfassen:

• Fehlende Kooperation: Telegram reagiert nur zögerlich auf Anfragen europäischer Behörden
• Unzureichende Löschmechanismen: Illegale Inhalte werden nicht konsequent entfernt
• Mangelnde Impressumspflicht: Kanäle mit großer Reichweite haben oft kein Impressum
• Datenspeicherung: Intransparente Speicherpraxis ohne klare Löschfristen

Die französische Justiz ging 2024 sogar so weit, Telegram-Gründer Pawel Durow vorübergehend festzunehmen. Dies unterstreicht die zunehmende regulatorische Aufmerksamkeit, die Telegram in Europa erhält. Für Unternehmen bedeutet dies ein steigendes Compliance-Risiko bei der Nutzung des Dienstes.

Empfehlungen für Unternehmen: Telegram datenschutzkonform nutzen

Wenn Ihr Unternehmen Telegram dennoch einsetzen möchte, empfehlen wir als externe Datenschutzbeauftragte folgende Maßnahmen:

Unternehmen sollten beachten, dass der Einsatz von Messengern wie Telegram im beruflichen Umfeld geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO erfordert, um ein angemessenes Schutzniveau sicherzustellen.

Technische Maßnahmen

• Nur geheime Chats nutzen: Für sensible Kommunikation ausschließlich Secret Chats verwenden
• Automatisches Löschen aktivieren: Selbstzerstörungstimer für Nachrichten einrichten
• Kontakt-Upload deaktivieren: In den Einstellungen den Adressbuch-Zugriff verweigern
• Zwei-Faktor-Authentifizierung: 2FA für alle Unternehmenskonten aktivieren
• Separate Geschäftsnummer: Dienstliche Telegram-Konten mit separater Nummer betreiben

Organisatorische Maßnahmen

• Nutzungsrichtlinie erstellen: Klare Vorgaben, welche Daten über Telegram kommuniziert werden dürfen
• Datenschutzfolgenabschätzung: DSFA nach Art. 35 DSGVO durchführen
• Mitarbeiter schulen: Sensibilisierung für die Risiken der Telegram-Nutzung
• Verarbeitungsverzeichnis: Telegram als Verarbeitungstätigkeit dokumentieren
• Regelmäßige Überprüfung: Datenschutzkonformität mindestens jährlich prüfen

Sichere Alternativen zu Telegram für Unternehmen

Angesichts der Datenschutz-Probleme empfehlen wir Unternehmen, sichere Alternativen zu Telegram in Betracht zu ziehen. Besonders geeignet für den geschäftlichen Einsatz sind:

• Signal: Konsequente Ende-zu-Ende-Verschlüsselung, minimale Datensammlung, Open Source
• Threema Work: Schweizer Anbieter, DSGVO-konform, kein Telefonnummer-Zwang
• Wire: EU-Server, Ende-zu-Ende-Verschlüsselung, speziell für Unternehmen konzipiert
• Element/Matrix: Self-Hosting möglich, vollständige Datenkontrolle, Open Source

Einen ausführlichen Vergleich dieser Alternativen finden Sie in unserem Artikel zu WhatsApp Alternativen für Unternehmen.

Häufig gestellte Fragen (FAQ)

Ist Telegram sicherer als WhatsApp?

Nein, in Bezug auf den Datenschutz ist Telegram nicht automatisch sicherer als WhatsApp. WhatsApp verschlüsselt standardmäßig alle Nachrichten Ende-zu-Ende, während Telegram dies nur in geheimen Chats tut. Allerdings hat WhatsApp andere Datenschutz-Probleme durch die Zugehörigkeit zum Meta-Konzern und den umfangreichen Metadaten-Austausch. Beide Messenger sind aus DSGVO-Sicht problematisch für den geschäftlichen Einsatz.

Kann Telegram meine Nachrichten lesen?

Bei Standard-Chats hat Telegram technisch die Möglichkeit, auf die Nachrichteninhalte zuzugreifen, da diese nicht Ende-zu-Ende-verschlüsselt auf den Servern gespeichert werden. Telegram beteuert zwar, dies nicht zu tun, doch eine unabhängige Überprüfung ist nicht möglich. Bei geheimen Chats ist ein Zugriff durch Telegram technisch ausgeschlossen, da nur Sender und Empfänger die Schlüssel besitzen.

Darf ich Telegram im Unternehmen nutzen?

Die dienstliche Nutzung von Telegram ist datenschutzrechtlich problematisch. Ohne Auftragsverarbeitungsvertrag, mit intransparenter Datenspeicherung in Drittländern und der automatischen Kontaktdaten-Übertragung verstößt die geschäftliche Nutzung in der Regel gegen die DSGVO. Wenn Sie Telegram nutzen möchten, sind umfangreiche technische und organisatorische Maßnahmen erforderlich. Wir empfehlen, eine Datenschutzfolgenabschätzung durchzuführen und sichere Alternativen zu prüfen.

Was passiert mit meinen Daten, wenn ich Telegram lösche?

Wenn Sie Ihren Telegram-Account löschen, werden laut Telegram alle Nachrichten, Gruppen und Kontakte entfernt. Telegram gibt an, dass die Daten innerhalb weniger Tage von den Servern gelöscht werden. Es gibt jedoch keine unabhängige Überprüfung dieser Angabe. Zudem bleiben Nachrichten, die Sie an andere gesendet haben, auf deren Geräten und in den Cloud-Chats der Empfänger erhalten. Telegram bietet auch eine automatische Kontolöschung nach einer festlegbaren Inaktivitätsperiode an.

Welche Daten sammelt Telegram über mich?

Telegram sammelt Ihre Telefonnummer, IP-Adresse, Geräte-Informationen, Nutzername und Profilbild. Zusätzlich werden bei Standard-Chats alle Nachrichteninhalte, Medien und Dateien auf den Servern gespeichert. Wenn Sie den Kontaktzugriff erlauben, werden auch die Telefonnummern Ihrer Kontakte übertragen. Metadaten wie Nutzungszeiten und Interaktionsmuster werden ebenfalls erfasst. Diese umfangreiche Datensammlung ist einer der Hauptkritikpunkte am Datenschutz von Telegram.