WhatsApp im Datenschutz-Check: Das passiert mit deinen Daten

Fachbeitrag

WhatsApp gehört immer noch zu den beliebtesten Apps überhaupt. Der Messenger ermöglicht den Austausch von Nachrichten über das Internet ohne zusätzliche Übertragungskosten und über verschiedene Betriebssysteme hinweg. Es mehren sich jedoch auch die kritischen Stimmen gegenüber WhatsApp und Mutterkonzern Meta (ehemals „Facebook“). Zeit für einen Datenschutz-Check.

WhatsApp, der Gigant unter den Messengern

WhatsApp ist immer noch der Platzhirsch unter den Messengern, trotz aller Warnungen und datenschutzrechtlicher Probleme. Nach einer Statista-Untersuchung von 2020 nutzten 94% der Befragten WhatsApp, gefolgt vom Facebook Messenger mit 51%. Threema abgeschlagen mit 3% und Signal mit nur 2%. Die Zahlen machen eins deutlich, der Verzicht auf WhatsApp fällt noch immer schwer oder erfordert einiges an Überzeugungsarbeit im Freundes- und Bekanntenkreis.

Datenschutz-Problem: Adressbuchabfrage ohne Einwilligung

Durch das Urteil des AG Bad Hersfeld wurde 2017 allerhand Aufregung geschürt. Der Richter stellte damals fest, dass die Mutter es unterlassen hatte, ihr Kind bei der Handynutzung angemessen zu beaufsichtigen. Im Rahmen dieser Aufsicht hätte sie eine schriftliche Einwilligung von allen Personen in dem Adressbuch ihres Kindes vor der Weitergabe deren Daten an WhatsApp einholen müssen. Denn sonst bestünde die Gefahr, dass das Kind von den Betroffenen abgemahnt werde.

Zwar würde man meinen, dass Personen, die ihr Telefon ausschließlich privat nutzen, keine Einwilligungen von ihren Kontakten einholen müssen. Denn nach Art. 2 Abs. 2 lit. c) DSGVO (oder zum Zeitpunkt des Urteils § 27 Abs. 1 S. 2 BDSG a.F.) wird eine Datenverarbeitung für persönliche und familiäre Zwecke nicht vom datenschutzrechtlichen Regelwerk erfasst. Folglich sind sie in diesen Fällen nicht anwendbar und eine Haftung nach der DSGVO ist damit ausgeschlossen. Doch auch das Gericht bejahte das Greifen der Haushaltsausnahme und nahm damals eine deliktische Haftung nach §§ 823, 1004 BGB analog an, da das Kind mit der Nutzung von WhatsApp das Recht auf informationelle Selbstbestimmung aller betroffenen Kontaktpersonen verletze. Weitere Urteile oder Abmahnungen in diese Richtung folgten jedoch nicht.

Auf Firmenhandys lässt sich WhatsApp zurzeit aus Datenschutzsicht oftmals nicht rechtskonform einsetzen. Es wäre zunächst erforderlich, von allen Kontakten die Einwilligung zur Weitergabe der Telefonnummern an WhatsApp einzuholen. Umgehen lässt sich das Problem nur, wenn die WhatsApp-Anwendung in einer virtualisierten IT–Umgebung abgeschottet und isoliert betrieben wird. Daneben muss die Business App mit ihren seperaten Nutzungs- und Datenverarbeitungsbedingungen verwendet werden. Eine solche Lösung sah das UDZ Saarland im 28. Tätigkeitsbericht 2019 (S. 74 ff.) in einer Überprüfung von Kommunikationskanälen der Kommunen als zulässig an. Seit dieser Bewertung wurde das Privacy Shield vom EuGH gekippt und WhatsApp hat seine Datenverarbeitungsbedingungen für Business-Nutzer mehrfach angepasst, sodass diese Punkte vor einem Einsatz im Unternehmen erneut zu prüfen wären.

Bei gemischt genutzten Geräten sollten die dienstlichen Daten durch eine Containerlösung geschützt werden. Hierbei werden dienstliche Daten wie z.B. Kontakte in einer Container-App gespeichert, so dass Apps wie WhatsApp keinen Zugriff auf diese Daten haben. So ist auch bei Firmenhandys mit erlaubter Privatnutzung die Nutzung von WhatsApp mit dem Datenschutz vereinbar.

Kann man die Weitergabe der Telefonnummern an WhatsApp unterbinden?

Bei der Installation der App wird die Eingabe der eigenen Telefonnummer gefordert und um die Erlaubnis zur Adressbuchabfrage gebeten. Bei Zustimmung erstellt die Software eine Favoritenliste mit denjenigen Kontakten aus dem Adressbuch, die ebenfalls WhatsApp verwenden. Dass dabei Daten der Nutzer übertragen und verarbeitet werden, liegt auf der Hand.

Der Zugriff auf die Telefonnummern lässt sich sowohl bei iOS als auch bei Android im Betriebssystem direkt steuern und damit die Weitergabe an WhatsApp unterbinden. Das hat natürlich auch zur Folge, dass die Kontakte nicht mehr in WhatsApp angezeigt werden und so wäre der Nutzer gezwungen auf die Nachricht eines anderen zu warten, um einen Chat zu beginnen. Eine andere Möglichkeit ist die angesprochene Containerlösung.

Was macht WhatsApp mit den Telefonnummern?

WhatsApp nutzt die Telefonnummer als „Unique Identifier“ also als Datum, um das Gerät bzw. den Nutzer eindeutig zu identifizieren. Diese werden in erster Linie genutzt, um sie mit dem Adressbuch neuer Nutzer abzugleichen und denen dann Übereinstimmungen als Kontakte vorzuschlagen. Daneben werden bei der Adressbuchabfrage aber auch die Telefonnummern von Personen verarbeitet, die (noch) nicht bei WhatsApp registriert sind. Diese Telefonnummern werden in einem speziellen Verfahren gehasht, mit der Telefonnummer des registrierten Nutzers verknüpft und von WhatsApp gespeichert. Das passiert, um den registrierten Nutzern eine Benachrichtigung zu schicken, falls sich ein bisher nicht registrierter Kontakt später doch noch einen WhatsApp Account einrichtet.

Dieser Vorgang stellt aus Sicht des EDSA (S. 26 ff.) lediglich eine Pseudonymisierung und keine wie von WhatsApp behauptete Anonymisierung der Telefonnummern dar. Denn durch das eingesetzte Hashverfahren und die unglaublichen Datenmengen, die dem Konzern zur Verfügung stehen, sei das Risiko hoch, dass die Nicht-Nutzer von WhatsApp reidentifiziert werden könnten. An der Einschätzung ändere auch die Beteuerung von WhatsApp nichts, dass das Unternehmen daran kein Interesse hätte, da man ja schließlich aus eben diesem Desinteresse die Daten überhaupt erst „anonymisiert“ hätte.

Daneben hat WhatsApp, nach dem jüngsten Aufschrei der Öffentlichkeit über die neuen Nutzungsbedingungen im Februar 2021, den Austausch einiger Informationen mit dem Mutterkonzern Meta „präzisiert“, bzw. vorerst von diesem Abstand genommen. So heißt es aktuell im FAQ (Stand 16.11.2021):

„Derzeit teilt WhatsApp deine personenbezogenen Daten nicht mit Facebook, um deine Produkterlebnisse auf Facebook zu verbessern oder dir interessantere Facebook-Anzeigen zu zeigen.“

Es werden allerdings weiterhin Daten zu anderen sehr vagen Zwecken geteilt. So heißt es:

„WhatsApp arbeitet mit den anderen Facebook-Unternehmen zusammen und teilt Informationen mit ihnen, um von Leistungen in den Bereichen Infrastruktur, Technologie und Systeme profitieren zu können.“

Welche Daten sammelt WhatsApp sonst noch?

WhatsApp sammelt alle von den Nutzern selbst angegebenen Daten wie Anzeigename, Telefonnummer, Status und Profilbild. Nachrichten werden grundsätzlich nicht auf den WhatsApp-Servern gespeichert, es sei denn der andere Nutzer ist nicht erreichbar. In diesem Fall wird die Nachricht 30 Tage zwischengespeichert und anschließend automatisch gelöscht. Fotos werden laut WhatsApp nur zwischengespeichert und anschließend gelöscht. Um ständig auf dem aktuellen Stand zu bleiben, werden alle Kontakte aus dem Adressbuch ausgelesen und regelmäßig mit der WhatsApp-Datenbank abgeglichen.

WhatsApp bietet die Möglichkeit an, Chatverläufe auf Google Drive und/oder einem lokalen Backup zu sichern. Dabei entfällt logischerweise die WhatsApp Ende-zu-Ende-Verschlüsselung. Wählt man „die einfachste Möglichkeit, Daten auf ein neues Telefon zu übertragen“, liegen die Gespräche unverschlüsselt auf dem Server des amerikanischen Cloud-Anbieters.

WhatsApp ist aber auch an weiteren Daten interessiert. Oft geht es um Metadaten, also z.B. nicht um den Inhalt eines Telefonats über WhatsApp oder den Inhalt einer Nachricht, sondern wann eine Person wie oft und wie lange kontaktiert wurde. Aus diesen Informationen ergibt sich dann ein umfassendes Bild zu einer bestimmten Person und so lassen sich sehr gute Profile erstellen.

Datenschutzkritik am Datenaustausch zwischen WhatsApp und Facebook

Die beim Kauf von WhatsApp durch Facebook einst versprochene Unabhängigkeit des Messengers war schnell vergessen. WhatsApp wurde immer weiter in die Konzernstruktur von Facebook integriert und somit wurden auch mehr und mehr Daten zwischen den einzelnen Unternehmen ausgetauscht. Nach anfänglichen Erfolgen der deutschen Datenschutzaufsichtsbehörden dieser Entwicklung einen Riegel vorzuschieben, scheitert die Untersagung des Datenaustausch zwischen WhatsApp und Facebook seit Anwendbarkeit der DSGVO an der fehlenden Zuständigkeit der deutschen Behörden.

Die irische Behörde (DPC) ist nun die federführende Behörde für viele „Big-Tech-Unternehmen“ wie z.B. WhatsApp bzw. Meta. Nach dem sog. „One-Stop-Shop“-Verfahren gemäß Art. 56 DSGVO ist bei grenzüberschreitenden Sachverhalten die Behörde am Sitz der Hauptniederlassung federführend zuständig. Der Gedanke war, Unternehmen weniger Bürokratie und mehr Rechtssicherheit zu verschaffen, indem sie sich in Verfahren nicht mehr mit Aufsichtsbehörden in mehreren EU-Mitgliedstaaten und ihren Rechtsauffassungen auseinandersetzen müssen. Doch wenn die federführende Aufsichtsbehörde nicht tätig wird oder Verfahren nur schleppend bearbeitet, haben die übrigen europäischen Aufsichtsbehörden, in deren Hoheitsgebiet das Unternehmen auch tätig ist, kaum Möglichkeit das Verfahren in Gang zu bringen oder es zu beschleunigen.

Die weiterbestehende Kritik vieler Datenschutzexperten an WhatsApp ist, dass das Teilen der Daten über einen Nutzer mit Facebook weder transparent ist, noch der Nutzer darin freiwillig eingewilligt hat. Um den Dienst von WhatsApp nutzen, muss man die Nutzungsbedingungen annehmen – der Nutzer kann gerade nicht entscheiden, welche Daten er teilen möchte. Eine freiwillige und informierte Einwilligung sieht anders aus.

Zweithöchstes DSGVO-Bußgeld und weitere Verfahren gegen WhatsApp

Dieses Jahr wurde das zweithöchste Bußgeld in der Geschichte der DSGVO in Höhe von 225 Millionen Euro gegen WhatsApp verhängt. Bei dem Verfahren aus dem Jahre 2018 ging es vor allem um Verstöße gegen die Transparenzvorgaben aus Art. 12 bis 14 DSGVO. Daneben laufen gegen den Konzern bei der Aufsichtsbehörde in Irland noch 9 weitere Verfahren, wie aus dem Jahresbericht des DPC hervorgeht:

  • Zu einer Datenpanne im September 2018
  • Zu der Umsetzung des Auskunftsrechts und Recht auf Datenübertragbarkeit
  • Zu der Rechtmäßigkeit der in den Nutzungsbedingungen und Datenrichtlinie angegebenen Rechtsgrundlagen für die Datenverarbeitung
  • Zu der Rechtmäßigkeit der Rechtsgrundlage für maßgeschneiderte Werbung
  • Zu einer ganzen Reihe von seit dem 25.05.2018 gemeldeten Datenpannen
  • Zu der Speicherung von Passwörtern im Klartext auf internen Servern
  • Zu der Einhaltung der Vorschriften des internationalen Datentransfers nach Schrems II

Außerdem führt das Bundeskartellamt seit 2019 ein sehr spannendes Verfahren gegen Facebook. Das Bundeskartellamt (BKartA) hatte dem Konzern das Zusammenführen von Nutzerdaten aus seinen verschiedenen Diensten ohne Einwilligung der Nutzer untersagt. Gegen die Untersagung legte Facebook Beschwerde beim OLG Düsseldorf ein, welches zunächst eine Aussetzungsanordnung aussprach. Nachdem der BGH diese wiederum aufhob und den Vorwurf der missbräuchlichen Ausnutzung einer marktbeherrschenden Stellung durch Facebook vorläufig bestätigte, wähnte man einen Abschluss des Verfahrens nahe. Doch das OLG Düsseldorf hat den nun in der Hauptsache verhandelte Fall abermals unterbrochen, um dem EuGH Fragen zur Auslegung des Datenschutzrechts vorzulegen. Ein Ende des Rechtsstreits ist somit erneut in weite Ferne gerückt. Seit Ende 2020 läuft zudem eine verbraucherrechtliche Sektoruntersuchung des Bundeskartellamts zu Messenger-Diensten, bei der WhatsApp erneut im Fokus steht.

WhatsApp ist erfolgreich, trotz Datenschutz-Kritik

Es gibt viel Kritik an WhatsApp, doch der Gigant unter Messengern lässt nicht so leicht locker. Fraglich ist, ob WhatsApp sich in die Knie zwingen lässt und zukünftig eine „echte“ (freiwillige & informierte) Einwilligung seiner Nutzer für die Weitergabe von Daten an Meta einholen wird. Dies scheint nach aktuellem Stand eher unwahrscheinlich. Man wird weiter die Grenzen austesten und Verfahren verzögern. Solange kein entschlossenes Handeln der Regulierungsbehörden bei Bußgeldern oder andere Maßnahmen zu befürchten ist, wird der Konzern weitermachen wie gehabt.

Doch wie kann es sein, dass bei so viel Kritik die Nutzer bei WhatsApp bleiben? Schuld ist der Netzwerkeffekt. Da viele Nutzer bei WhatsApp sind, ist es für andere wiederrum attraktiv, über WhatsApp zu kommunizieren oder dort zu bleiben. Neue Anbieter haben es schwerer, doch ihr Markt wächst, denn das Bedürfnis nach mehr Privatsphäre und Datenschutz steigt. Es bleibt abzuwarten, wie sich diese neuen Anbieter verhalten werden und ob das Spiel um Daten nicht an anderer Stelle fortgesetzt wird.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Ein Kommentar zu diesem Beitrag

  1. „Das hat natürlich auch zur Folge, dass die Kontakte nicht mehr in WhatsApp angezeigt werden und so wäre der Nutzer gezwungen auf die Nachricht eines anderen zu warten, um einen Chat zu beginnen.“ Hierzu ein Hack, um trotzdem Nachrichten als Erster verschicken zu können: Einfach folgenden link „bauen“ und vom Mobilgerät aus anklicken:
    wa.me/[Telefonnummer des Empfängers inkl. Ländervorwahl aber ohne führende Nullen]. (z.B. wa.me/4915110000000) Dieser wird automatisch durch WhatsApp selbst (statt durch den Browser) geöffnet und man landet direkt im neuen Chat mit der angegebenen Nummer.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.