Kein Messenger-Dienst ist so ein integrierter Bestandteil unseres Alltags geworden wie WhatsApp. Selbst aus unserem Berufsleben ist es nicht mehr wegzudenken ist. Das führt natürlich dazu, dass WhatsApp stets datenschutzrechtlich ein heißes Thema bleibt. Erst recht, wenn Deutschlands oberster Datenschützer eine Mitteilung macht.
Der Inhalt im Überblick
Bundesdatenschutzbeauftragter wird deutlich
Am vergangenen Sonntag machte der Bundesdatenschutzbeauftragte, Ulrich Kelber, selten so deutlich, was er von WhatsApp hält. In einem Rundschreiben an alle Bundesministerien und -behörden teilt er unmissverständlich mit,
„dass der Einsatz von WhatsApp für eine Behörde ausgeschlossen ist.“
Sicherheitsrisiko WhatsApp
Der Konflikt zwischen deutschen Datenschützern und WhatsApp ist mittlerweile schon historisch gewachsen. Der Umstand, dass früher mit dem Messenger Daten an den Mutterkonzern Facebook übertragen wurden, hat zu einem juristischen Duell mit dem Unternehmen geführt. Die Sorge, dass Facebook oder Dritte die Nachrichten lesen, versendete Bilder und Videos abgreifen und auswerten können, konnte nie ganz verschwinden. Auch nicht, wenn WhatsApp für Sicherheit gesorgt hat oder zumindest versucht hat zu sorgen.
Die Kommunikation über WhatsApp ist von Ende-zu-Ende verschlüsselt. Darunter versteht man die Verschlüsselung übertragener Daten über alle Übertragungsstationen hinweg. Durch die Verschlüsselung soll das Mitlesen der Nachricht durch alle anderen, inklusive der Telekommunikationsanbieter, Internetprovider und sogar der Anbieter der genutzten Kommunikationsdienste, verhindert werden. Auch Strafverfolgungsbehörden haben dann keinen Zugriff mehr. Ausschließlich die jeweiligen Endpunkte der Kommunikation, Max und Moritz zum Beispiel, können die Nachricht entschlüsseln. So zumindest die Theorie.
Wie sicher ist die Verschlüsselung?
Gebräuchliche Technik für Ende-zu-Ende-Verschlüsselung ist zum Beispiel OpenPGP und S/MIME bei E-Mail-Verkehr, das Signal-Protokoll, OTR und OMEMO bei Chat-Verkehr, sowie ZRTP/SRTP bei Audio-/Video-Chats und SIP-Telefonie. Doch reicht diese Tatsache tatsächlich dazu aus, um sich mit der Anwendung sicher zu fühlen? Werden wirklich keine Daten übertragen?
Aus Sicht des Bundesdatenschutzbeauftragten ist die Antwort klar: es werden trotzdem Daten übertragen! In seinem Rundschreiben führt er aus, man müsse nicht nur davon ausgehen, dass WhatsApp bei jeder Nachricht Metadaten erhebt, sondern diese auch an den Mutterkonzern Facebook weitergegeben werden: „Die Metadaten tragen, wenn auch nur als kleiner Mosaikstein, zur verstärkten Profilbildung bei“, so Kelber an die Behörden. Aus seiner Sicht reicht es aus, dass so beispielsweise durch Art der Behörde und Häufigkeit der Kommunikation sensible Rückschlüsse möglich werden.
Zu besagten Daten gehören etwa folgende:
- IP-Adresse
- Standortdaten
- Informationen über das Smartphone und dessen Betriebssystem
Es geht also auch hier um personenbezogene Daten.
WhatsApp widerspricht
Natürlich widerspricht der Messenger-Dienst:
„WhatsApp kann keine Nachrichten lesen, da diese standardmäßig durchgehend verschlüsselt sind.“
Die Antwort ist nicht nur recht knapp. Sie geht auch nicht wirklich auf die Äußerungen des Bundesdatenschutzbeauftragten ein. In dessen Kritik ging es nämlich um die unverschlüsselten Metadaten, die automatisiert ausgewertet werden können und welche Rückschlüsse auf die Inhalte sowie Kommunikationspartner und -netzwerke zulassen. Konkret auf die Weiterleitung von Metadaten angesprochen führte das Unternehmen dann weiter aus:
„WhatsApp gibt keine Metadaten von Nutzern an Facebook weiter, um den Aufbau von Profilen zu unterstützen oder auf andere Art Facebooks Produkte oder Werbung zu verbessern.“
Mehr als diese knappen Statements gibt es nicht. Diese reihen sich aber dafür in das bisherige Stellungnahmemuster des amerikanischen Unternehmens ein. Allen Statements ist gemein, dass sie datenschutzrechtliche Bedenken schlicht abtun ohne dabei Transparenz anzubieten.
Datenschutz muss auf dem Radar bleiben
Datenschutzrechtliche Bedenken im Zusammenhang mit WhatsApp oder Facebook sind so sicher wie das Amen in der Kirche. Dennoch sollte man sich nicht einfach nur damit abfinden und stets sensibilisiert bleiben. Vor allem dann, wenn wie in der Corona-Krise, man dazu verleitet wird einfacher und schneller mit einander zu kommunizieren, weil der direkte persönliche Kontakt fehlt. Gesundheit steht über allem. Eine möglichst schnelle und sichere Rückkehr zu den Zuständen, wie sie vor Corona bestanden haben, ist zu priorisieren. Der Datenschutz sollte aber dabei nicht völlig auf der Strecke bleiben. Durch sein Rundschreiben hat Ulrich Kelber sicherlich dafür gesorgt, dass wir weiterhin sensibilisiert bleiben.
Das Hauptproblem bei WhatsApp aus datenschutzrechtlicher Sicht ist ja ein völlig anderes als die ebenfalls wichtigen dargestellten Punkte: es geht darum, dass die App WhatsApp das gesamte Telefonbuch des Anwenders auf die Server der Firma hochlädt. Die Verantwortung dafür, das Einverständnis aller im Telefonbuch des Handys gespeicherten Personen zu besitzen, schiebt WhatsApp komplett auf den Anwender der App. Das ist natürlich im realen Leben eine komplette Illusion.
Damit allein kommt WhatsApp im geschäftlichen Umfeld nicht in Frage, es sei denn, es ist technisch sichergestellt (auf zentral gemanagten Dienst-Handys), dass die App keinen Zugriff auf das Telefonbuch des Handys bekommt.
Dem kann man uneingeschränkt zustimmen. Praktisch führt das erst einmal dazu, dass man keinen Chat starten kann, also „angefunkt“ werden muss und keine Namen sieht.
Jüngst habe ich aber eine Funktion bemerkt, die mir bisher nicht bekannt war und deren Folgen diskutabel erscheinen. Auf Geräten mit installiertem WhatsApp kann man ohne Speicherung im oder Zugriff aufs Adressbuch durch Eingabe von wa.me/[Nummer] im Browser, also z.B. wa.me/491711234567 entweder einen Chat starten, wenn die Nummer bei WhatsApp registriert ist oder aus der App per SMS zur Nutzung von WahtsApp einladen. Kann ich so unterscheiden, wer WhatsApp nutzt, also in die Terms eingewilligt hat, ohne dass Daten verarbeitet werden? Von meinem Adressbuch lässt WhatsApp ja weiterhin die Finger, letztlich ist es nicht mehr als ein „Anrufversuch“. Es gibt auch kleine lokale Tools, die den Aufruf komfortabel ermöglichen, z.B. aus der Anrufhistorie.
Ich fürchte, das ist nicht zu bewerten, ohne dass WhatsApp sich erklärt, welche Daten beim Aufruf von wa.ms wie verarbeitet werden. Jemand anderer Ansicht?