Wire Blog - Europas sicherste Kommunikationsplattform

Matrix ist kein Garant für Datenschutz in der EU

Geschrieben von Wire | 18.06.2025 12:39:41

Für Behörden, Betreiber kritischer Infrastrukturen und datenschutzbewusste Unternehmen in der EU zählt nicht nur, ob Matrix innovativ ist – sondern ob es DSGVO-konform ist, vor ausländischer Überwachung schützt und echte Datenkontrolle ermöglicht.

Leider ist die Antwort eindeutig: Matrix ist kein sicherer Ansatz für den Schutz sensibler Daten in der EU.

Das Jurisdiktionsproblem: Britisches Recht ist nicht EU-Recht

Matrix mag ein offenes Protokoll sein, doch der meistgenutzte Client (Element), die meisten Hosting-Dienste (EMS) und zentrale Infrastrukturkomponenten (z. B. Secure Border Gateway) werden von Element Technologies Ltd. in Großbritannien entwickelt und betrieben.

Das ist entscheidend. Seit dem Brexit gehört das Vereinigte Königreich nicht mehr dem EU-Rechtsrahmen an und hat Überwachungsgesetze wie den Investigatory Powers Act (IPA) verabschiedet.

Dieses Gesetz erlaubt:

  • Geheime Anordnungen zur technischen Umsetzung von Hintertüren
  • Massenhafte Datenüberwachung und Eingriffe in Geräte
  • Schweigepflichten, die die Offenlegung solcher Maßnahmen verbieten 

Wenn Ihre Matrix-Installation auf Element-Hosting oder von Element entwickelter Software basiert, sind Sie diesen Risiken ausgesetzt – selbst wenn Ihr Server physisch in der EU steht. Softwareupdates oder Abhängigkeiten aus dem Vereinigten Königreich können eine rechtliche Exponierung verursachen, die nicht mit Schrems II oder den Artikeln 44–46 der DSGVO vereinbar ist.

Verschlüsselung reicht nicht: Olm und Megolm leaken Metadaten

Matrix verweist auf seine Ende-zu-Ende-Verschlüsselung (E2EE), doch die zugrunde liegenden Protokolle – Olm (für 1:1-Chats) und Megolm (für Gruppenkommunikation) – weisen gravierende Datenschutzdefizite auf:

  • Olm/Megolm basieren auf Sessions und bieten keine Forward Secrecy für Gruppenchats.
  • Metadaten wie Absender, Empfänger, Geräte-ID und Zeitstempel werden nicht transportverschlüsselt – oft bleiben sie für den Homeserver einsehbar.
  • Anders als moderne Protokolle wie MLS (Messaging Layer Security) verschleiern Olm/Megolm nicht, wer an einem Chat teilnimmt, welche Geräte verwendet werden oder wie das Kommunikationsnetz strukturiert ist.
  • Die föderierte Kommunikation (wer spricht mit wem, wann) wird zwischen Homeservern im Klartext übertragen – ein ideales Ziel für Musteranalyse und Überwachung. 

Kurz gesagt: Die Matrix-Verschlüsselung schützt den Nachrichteninhalt, nicht aber die Kommunikationsstruktur – genau jene Daten, die europäisches Datenschutzrecht besonders schützen will.

Föderation: Ein offenes Einfallstor für Angriffe

Das föderierte Modell von Matrix erlaubt jedem Homeserver, mit jedem anderen zu kommunizieren. Das fördert zwar Dezentralität, öffnet jedoch auch Tür und Tor für Bedrohungen:

  • Angreifer können beliebige, bösartige Homeserver aufsetzen und sich mit legitimen Servern verbinden.
  • Spoofing, Spam und Metadaten-Abgriff sind an der Tagesordnung – dokumentiert in mehreren Spam-Wellen im Matrix-Netzwerk.
  • Der Großteil der Föderationsdaten wird nicht transportverschlüsselt, Metadaten bleiben sichtbar und potenziell an Drittländer übertragbar. 

Für die DSGVO ist das besonders kritisch: Metadaten gelten als personenbezogene Daten. Wenn Ihr Homeserver – auch nur kurzzeitig – mit einem ausländischen oder bösartigen Server Daten austauscht, könnte dies einen illegalen Datenexport ohne geeignete Schutzmaßnahmen darstellen.

Secure Border Gateway: Datenschutz als kostenpflichtiges Extra

Element ist sich der Risiken der offenen Föderation bewusst – und verkauft eine Lösung: das Secure Border Gateway (SBG). Dieses kommerzielle, proprietäre Gateway filtert und vermittelt den Datenverkehr zwischen Ihrem Homeserver und dem Matrix-Netzwerk.

Es erlaubt:

  • Einschränkung der Föderation auf vertrauenswürdige Partner
  • Kontrolle über Metadatenlecks
  • Schutz vor Spoofing und Spam 

Doch das bringt neue Probleme:

  • Nicht quelloffen – keine Möglichkeit zur unabhängigen Prüfung, ob DSGVO-Vorgaben eingehalten werden
  • Nur im Rahmen der kostenpflichtigen Sovereign Subscription verfügbar – grundlegender Datenschutz wird zur Bezahlschranke
  • Vertrauensproblem – Behörden und öffentliche Auftraggeber können die Funktionsweise nicht unabhängig validieren 

Schlimmer noch: Der Einsatz des SBG kann zu Problemen bei Cybersecurity-Zertifizierungen wie ISA/IEC 62443 führen, die Transparenz und Prüfbarkeit aller Systemkomponenten vorschreiben – Anforderungen, die ein proprietäres Gateway nicht erfüllen kann.

Governance Capture: Die Illusion von Unabhängigkeit

Die Matrix Foundation soll das Protokoll unabhängig verwalten – doch diese Unabhängigkeit steht zunehmend infrage.

Wie im Artikel „Matrix Is Cooked“ dokumentiert, hat Element Technologies Ltd. zunehmend die Kontrolle über das Matrix-Ökosystem übernommen – von Lizenzentscheidungen bis hin zur Codeentwicklung. In den Jahren 2023–2024 verlagerte Element wesentliche Codebasen ohne Rücksprache mit der Foundation in neue AGPL-Repositories – eine Entscheidung, die Community-Mitglieder ausschloss und die Macht beim Unternehmen konzentrierte.

So wird aus einem dezentralen Versprechen eine zentralisierte Realität – unter Kontrolle eines einzelnen, britischen Unternehmens.

Die Folge ist eine riskante Kombination aus:

  • Britischer Jurisdiktion
  • Kommerziellem Vendor Lock-in
  • Intransparenter Governance 

Die sichere Alternative: Wire

Wenn Ihre Organisation sichere Kommunikation benötigt, die europäischer Souveränität gerecht wird, ist Wire die verlässlichere Wahl:

  • Hauptsitz in der Schweiz, Betrieb in Deutschland – damit unterliegen wir den weltweit strengsten Datenschutzgesetzen und nicht dem UK IPA oder dem US FISA 702.
  • Flexible Bereitstellung: On-Premises, private Cloud oder reine EU-SaaS-Umgebung.Geschlossene Föderation – schützt vor Spam, Metadatenlecks und externen Übergriffen.
  • Starke Ende-zu-Ende-Verschlüsselung mit Metadatenminimierung, vollständig auf Messaging Layer Security (MLS) umgestellt – dem derzeit modernsten Protokoll für sichere Kommunikation.
  • Von Anfang an mit Blick auf Compliance, Enterprise-Security und europäische Souveränität entwickelt. 

Fazit: Datenschutz in der EU ist kein Glücksspiel

Verschlüsselung allein garantiert keinen Datenschutz – vor allem nicht, wenn Metadaten offenliegen, Föderation unkontrolliert ist und das System fremden Überwachungsgesetzen unterliegt.

Matrix, wie es heute von Element kommerzialisiert wird, scheitert am EU-Anforderungen aus mehreren Gründen:

  • Jurisdiktionsrisiko durch britisches Überwachungsrecht
  • Metadatenlecks durch veraltete Verschlüsselung
  • Intransparente Föderationskontrolle hinter Paywall
  • Kommerzielle Vereinnahmung und fehlende Governance 

Wenn Ihre Organisation der DSGVO, Schrems II, NIS2 oder BSI-Richtlinien unterliegt: Matrix ist ein Risiko, kein Schutzmechanismus. EU-Organisationen sollten echte Privatsphäre, wahre Souveränität und überprüfbare Vertrauenswürdigkeit verlangen – nicht nur verschlüsselte Nachrichten auf einer unsicheren Oberfläche.

Wenn Sie die führende europäische Lösung für sichere Kommunikation kennenlernen möchten, kontaktieren Sie uns für eine Demo.
Vollständigen Beitrag anzeigen