Heute früh las ich bei Heise eine Meldung, die mich ziemlich nachdenklich gestimmt und ehrlich gesagt auch etwas wütend gemacht hat. Die Frankfurter Investmentfirma Comitis Capital hat Threema übernommen, den einzigen wirklich sicheren, europäischen Messenger-Dienst. Die Transaktion wurde am 12. Januar 2026 bekannt gegeben und soll noch in diesem Monat abgeschlossen werden. Auf den ersten Blick klingt das nach einer normalen Unternehmensakquisition – nichts Besonderes in der Tech-Branche. Doch mich beunruhigt das.
Denn hier geht es nicht um irgendein Start-up, das frisches Kapital für Wachstum braucht. Hier geht es um Threema – um digitale Souveränität, um Datenschutz und um die einzige relevante europäische Alternative zu den US-dominierten Messenger-Giganten wie WhatsApp, iMessage oder Signal. Und diese einzige relevante europäische Alternative landet jetzt in den Händen eines Private-Equity-Investors, dessen Geschäftsmodell auf Exit-Rendite basiert – nicht auf langfristigem Engagement für Datenschutz und digitale Souveränität.
Das Problem mit Private Equity: Exit vor Ethik
Das Geschäftsmodell von Private Equity basiert darauf, ein (meist schwächelndes) Unternehmen mit einem gewissen unternehmerischen und finanziellen Engagement schick für den Markt zu machen und dann bestmöglich an den Meistbietenden zu verticken. Die meisten PE-Investments bedienen sich vor allem im sozialen Bereich diverser Schweinereien, um schnell die Kosten zu senken. Das geht bei Preisdruck auf Lieferant:innen los, geht über Lohnkürzungen, Streichung von Benefits (etwa Urlaubs- und Weihnachtsgeld, Beteiligung an ÖPNV-Tickets etc.) bis hin zu Entlassungen, wobei die weggefallenen Stellen entweder gar nicht neu besetzt (womit den verbliebenen Kolleg:innen mehr Arbeit aufgebürdet wird) oder Festangestellte durch viel billigere Leiharbeit, Werk- oder befristete Verträge ersetzt werden.
Der typische Zeithorizont zwischen einer PE-Übernahme und dem Exit liegt bei fünf bis sieben Jahren. Comitis Capital hat bei seinem ersten Investment, dem Tiernahrungsunternehmen PetCo, schon nach drei Jahren den Exit vollzogen – Einstieg 2021, Verkauf im September 2024 an den tschechischen Konzern VAFO.
Nicht nur für die Mitarbeiter:innen ist eine PE-Übernahme in den meisten Fällen schlecht (weshalb ich diese Art des Investments grundlegend verabscheue), sondern häufig wird auch das Produkt schlechter – denn auch da lässt sich natürlich etwas sparen. Ob das bei PetCo der Fall war, kann ich natürlich nicht sagen. Aber PetCo hat Hundefutter produziert. Da ist eine geringere Qualität des Produkts weitgehend egal (solange die gesetzlichen Regeln eingehalten werden natürlich).
Aber der Messenger Threema ist kein Hundefutter. Threema ist ein wichtiger sicherheitsrelevanter Baustein in der europäischen digitalen Infrastruktur.
Profitinteressen bedrohen die Sicherheit
Threema wird in der Schweiz entwickelt. Dort herrschen strenge Schweizer Datenschutzgesetze. Außerdem hat Threema eine Zero-Knowledge-Architektur. Das bedeutet konkret: Der Anbieter selbst hat keinen Zugang zur Nutzerkommunikation. Alle Nachrichten, Anrufe und Dateien sind Ende-zu-Ende-verschlüsselt. Die Server stehen ausschließlich in ISO-27001-zertifizierten Rechenzentren in der Schweiz. Threema ist zudem nach der Nationalen Sicherheitsrichtlinie (NDI) für Behördenkommunikation in Deutschland und der Schweiz zertifiziert.
Diese Sicherheitsversprechen sind extrem wertvoll – und extrem fragil. Denn sie funktionieren nur, solange der Betreiber diese Prinzipien konsequent verfolgt. Und genau hier liegt das fundamentale Problem mit Private Equity: Sie haben eine fiduziäre Pflicht – das ist die rechtliche Verpflichtung, die Vermögensinteressen ihrer Fondsinvestoren zu schützen und zu maximieren. Ausschließlich dem sind sie verpflichtet, und absolut gar nicht der Qualität des Produkts oder den Interessen der Kund:innen. Das einzige Ziel von Private Equity heißt Rendite, und dafür geht PE manchmal buchstäblich (ich denke da an Lebensmittelspekulation) über Leichen.
Was Comitis Capital wirklich kauft – und was es verhökern wird
Schauen wir uns doch mal an, in was Comitis Capital bisher investiert hat: Consumer-Produkte mit klaren Wachstumspotenzialen und einfachen Exit-Strategien. Tiernahrung (PetCo), Hundeaccessoires (Cloud7) und Tofu (The Tofoo Co). Die bisherigen Investments waren technologisch wenig komplex. Das Portfolio zeigt ziemlich deutlich: Hier fehlt jegliche Expertise im Bereich kryptografische Sicherheit oder Datenschutztechnologie, was für ein Produkt wie Threema aber nötig wäre.
Denn Threema ist völlig anders. Hier geht es um hochkomplexe Kryptografie, um Zero-Knowledge-Architekturen, um Metadatenvermeidung und um regulatorische Compliance auf höchstem Niveau. Das sind keine Themen, die man mal eben mit »mehr Marketing« und »internationaler Expansion« skaliert – die klassischen PE-Hebel funktionieren hier nicht. Schlimmer noch: Sie können die Sicherheit aktiv kaputtmachen.
Denn was passiert, wenn Comitis Capital – wie angekündigt – »Wachstum beschleunigt« und »internationale Expansion« vorantreibt? Dann bedeutet das konkret:
- Schnellere Feature-Entwicklung: Agile Release-Zyklen, die Security-Reviews verkürzen oder ganz überspringen.
- Internationalisierung in Länder mit schwächerem Datenschutz: Compliance mit Rechtsordnungen, die Zugang zu Schlüsselmaterial oder Metadaten erzwingen können – etwa der US-amerikanische CLOUD Act oder chinesische Cybersecurity-Gesetze.
- Kostendruck auf Sicherheitsinfrastruktur: Investitionen ohne direkten ROI – etwa unabhängige Security-Audits, Bug-Bounty-Programme oder kryptografische Grundlagenforschung – werden als »discretionary spend« gekürzt.
Das ist kein Horrorszenario, das ich mir ausdenke. Das ist die logische Konsequenz aus dem klassischen Private-Equity-Modell: Leverage (Fremdkapital) erhöht den Druck auf Cash-Generierung, Wachstumsziele verdrängen Sicherheitsinvestitionen, und der Exit-Zwang führt dazu, dass das Unternehmen meistbietend verhökert wird – egal an wen.
Ach so, und natürlich wird Threema sich vom Einmalkauf zum Abonnement-Modell wandeln. Und bestimmt wird Werbung reingepumpt. Was auch sonst.
Der meistbietende Käufer: Microsoft, ein Scheich oder doch die NSA?
Und hier wird es wirklich brisant. Denn was passiert in fünf Jahren, wenn Comitis Capital den Exit sucht? Threema wird dann verkauft – und zwar an den Höchstbietenden. Das kann ein strategischer Käufer wie Microsoft, Cisco oder Atos sein, die Threema in bestehende Cloud-Portfolios integrieren und die Zero-Knowledge-Architektur opfern. Oder Meta, das einfach einen unliebsamen Konkurrenten vom Markt wegbeißt. Es kann ein größerer PE-Fonds sein, der noch mehr Hebel ansetzt und noch stärkeren Renditedruck erzeugt. Oder ein staatlicher Akteur, etwa aus den Golfstaaten oder Asien, der geopolitische Interessen verfolgt und Backdoors oder Metadaten-Zugriff durchsetzt.
Die Schweizer Souveränität, die Threema bisher geschützt hat, wird dann relativiert oder komplett aufgehoben. Denn ein neuer Eigentümer kann die Serverinfrastruktur verlagern, Änderungen am Client-Code vornehmen oder das Open-Source-Commitment reduzieren – und all das ohne dass die Nutzer es sofort merken. Update-Zwänge in den App-Stores sorgen dafür, dass böswillige Änderungen binnen Wochen auf Millionen Geräten landen.
Das ist keine Paranoia. Das ist die Realität bei Übernahmen im Big-Tech-Bereich. Erinnert ihr euch an WhatsApp? Bei der Übernahme durch Facebook 2014 versprach Mark Zuckerberg, dass er die Daten der Nutzer:innen nicht mit dem sozialen Netzwerk verknüpfen werde. Nur zwei Jahre später, im August 2016, änderte WhatsApp die Nutzungsbedingungen und ermöglichte genau diesen Datenaustausch. Telefonnummern, Geräteinformationen, Nutzungsverhalten – alles fließt seitdem zu Meta, um Profile zu vervollständigen und Werbung zu personalisieren.
Warum Europa keinen einzigen sicheren Messenger verlieren darf
Threema ist nicht irgendein Messenger. Threema ist – neben dem föderierten Matrix-Protokoll – einer der letzten Kommunikationsdienste, die wirklich sichere, europäisch souveräne Kommunikation ermöglichen. (Das von vielen gepriesene Signal ist dazu keine Alternative. Es hat seinen Sitz in den USA und unterliegt daher dem CLOUD Act.)
Mit über zwölf Millionen Nutzern weltweit und mehr als drei Millionen Nutzern der Unternehmenslösung Threema Work ist der Messenger kein Nischenprodukt mehr. Über 8.000 Organisationen – darunter Behörden, Krankenhäuser, Unternehmen und sogar Militärs – vertrauen auf Threema für ihre sichere Kommunikation. Diese Nutzer haben eine klare Entscheidung getroffen: Sie wollen nicht, dass ihre Daten bei Meta, Google oder Microsoft landen. Sie wollen europäische Datensouveränität.
Und genau diese Souveränität steht jetzt auf dem Spiel. Denn Private Equity kennt keine Ideologie, keine Loyalität zu europäischen Werten und keine langfristige Verpflichtung gegenüber Datenschutz. Private Equity kennt nur Rendite. Und wenn ein US-Konzern oder ein staatlicher Akteur das höchste Gebot abgibt, geht Threema halt an den – egal, was das für die europäische Datensouveränität bedeutet.
Zwischenfazit: Vertrauen lässt sich nicht verkaufen
Die Übernahme von Threema durch Comitis Capital ist ein Treppenwitz der Software-Geschichte. Da kämpft Threema seit Jahren für digitale Souveränität, und Datenschutz – und dann lässt das Unternehmen es zu, dass der letzte wirklich sichere, europäische Messenger in die Hände eines Finanzinvestors gerät, dessen Geschäftsmodell auf Exit-Rendite basiert.
Das Problem ist nicht, dass Comitis Capital ein schlechter Investor ist. Das Problem ist, dass Sicherheit und Vertrauen sich nicht mit Private-Equity-Logik vereinbaren lassen. Vertrauen baut man über Jahre auf – durch Transparenz, durch Audits, durch konsequentes Festhalten an Prinzipien. Vertrauen kann man nicht in ein paar Jahren »optimieren« und dann meistbietend verhökern. Denn sobald der Verkauf bekannt wird, ist das Vertrauen weg – irreversibel.
Was wir jetzt tun sollten: Alternativen prüfen, bevor es zu spät ist
Ich nutze Threema schon lange als Ersatz für WhatsApp. Was ich mache, wenn Threema wirklich an einen Bad Actor (aka Big Tech) verkauft wird, irgendeinen Konzern, in irgendeinen fragwürdigen Staat? Keine Ahnung. Ich hoffe, dass es bis dahin Alternativen gibt, vielleicht ja von Proton. Die nächsten Monate und Jahre werden zeigen, ob Comitis Capital das Sicherheitsversprechen von Threema wirklich halten wird oder ob die ersten Downgrades kommen: höhere Preise, Feature-Bloat, Compliance-Deals mit Drittstaaten. Da werde ich dann nicht mitmachen und werde wohl meine Roadmap noch einmal überarbeiten müssen.
Alternative: Matrix
Matrix ist ein offenes, föderiertes Protokoll – vergleichbar mit E-Mail, aber für Echtzeitkommunikation. Element aus dem Vereinigten Königreich ist die bekannteste Matrix-App und wird in Deutschland massiv gefördert. Der BundesMessenger, der BW Messenger der Bundeswehr und zahlreiche Behörden setzen auf Matrix. Der Vorteil: Du kannst Element selbst hosten (Open Source) und erlangst so echte digitale Souveränität durch deinen eigenen Server. Damit bist du nicht mehr abhängig von einem einzelnen Anbieter. Der Nachteil: höhere Komplexität, noch weniger Nutzer:innen im privaten Umfeld als Threema.
Fazit: Europa muss Sicherheitsdienste schützen – nicht verkaufen lassen
Die Threema-Übernahme zeigt ein grundsätzliches Problem: Digitale Dienste, die auf Vertrauen basieren, dürfen wir nicht wie Tiernahrung oder Baustoffe behandeln. Sie brauchen langfristige Eigentümerstrukturen, die das Sicherheitsversprechen über Rendite stellen – Stiftungen, gemeinnützige Organisationen oder öffentlich-rechtliche Beteiligungen. Oder Open Source.
Die EU hat Milliarden für digitale Souveränität ausgegeben – für Gaia-X, für Matrix-Implementierungen, für KI-Förderung. Aber sie hat versäumt, die bestehenden europäischen Sicherheitsdienste zu schützen. Threema hätte trotz seines Sitzes im Nicht-EU-Ausland (der Schweiz) eine Förderung, eine strategische Partnerschaft oder eine Stiftungslösung verdient – nicht einen Exit-orientierten Finanzinvestor.
Was bleibt, ist die Hoffnung, dass Comitis Capital die Verantwortung erkennt und Threema nicht nach Schema F behandelt. Und die Empfehlung an alle Nutzer:innen: Beobachtet die Entwicklung genau, prüft Alternativen und setzt nicht alles auf eine Karte. Denn wenn Threema in vielleicht fünf Jahren meistbietend verhökert wird, könnte der letzte sichere, europäische Messenger Geschichte sein – und mit ihm ein Stück digitale Souveränität.
Ich hab die Faxen dicke vom Surveillance Capitalism. Darum entfessele ich mein Privatleben davon, Schritt für Schritt. (Beruflich wird mir das jedoch leider nicht so richtig gelingen.)