Datenschutz im Alltag: WhatsApp

Nahezu jeder nutzt Instant Messenger wie WhatsApp. Sie sind schnell, unkompliziert und kosten (in der Regel) kein Geld. WhatsApp ist dabei der in Deutschland meistgenutzte Messaging-Dienst. Die Vorteile z. B. zur altgedienten SMS liegen auf der Hand:

WhatsApp

  • kostet nicht für jede Nachricht
  • ist für viele Plattformen verfügbar und
  • sehr viele Leute nutzen die App.

Trotz der Beliebtheit des Dienstes wird jedoch auch immer wieder Kritik laut: Der Nutzer zahle mit seinen Daten oder sogar mit Daten seiner Freunde. Die Nachrichtenübertragung sei unsicher, die App habe kritische Sicherheitslücken. Wir haben uns daher die relevanten Vorgaben bei WhatsApp angesehen.

Wie steht´s mit Datenschutz bei WhatsApp?

Vorweg: In den USA hat Datenschutz einen völlig anderen Stellenwert als in Deutschland oder auch der EU. Aus Sicht der EU ist in den USA kein angemessenes Datenschutzniveau garantiert. Die Server von WhatsApp stehen in Kalifornien. Dorthin werden also regelmäßig Nutzerdaten übertragen. Der Standort erleichtert US-Behörden die Datenabfragen und ggf. die direkte Einsicht.
In seiner Privacy Policy erklärt WhatsApp Inc. dem um seine Daten besorgten (und der englischen Sprache mächtigen) Nutzer der App Einiges zum Umgang des Unternehmens mit personenbezogenen Daten. Das Unternehmen weist u. a. darauf hin, dass man sich vorbehält, personenbezogene Daten offen zu legen, sofern es das Gesetz verlangt, aber u. a. auch für den Fall, das WhatsApp in gutem Glauben davon ausgeht, dass die Offenlegung notwendig und sachdienlich ist, z.B. um die eigenen Nutzungsbedingungen durchzusetzen oder um Strafverfolgungsbehörden zu unterstützen.

In der Datenschutzerklärung versichert das Unternehmen auch, dass keine Namen, E-Mails, Adressen oder andere Kontaktinformationen aus dem Adressbuch oder Kontaktlisten des Nutzers gesammelt werden, lediglich die Handy-Nummern würden erhoben. Die App assoziiere lediglich den Namen, den der Nutzer dem Kontakt gegeben habe mit der Rufnummer, eine Übertragung an die WhatsApp-Server finde hier nicht statt.

Auch Standortdaten erhebt die App selbst nicht. Jeder Nutzer kann natürlich freiwillig über die App seinen Standort mitteilen.

Keine Weitergabe an Dritte?

Auch eine Weitergabe von personenbezogenen Daten an Dritte ohne Einwilligung des Nutzers oder wenigstens Hinweis auf ein Opt-In oder Opt-out durch den Nutzer verneint das Unternehmen. Allerdings behält man sich eine Weitergabe an Dritte auch ohne Einwilligung vor, soweit es vernünftigerweise notwendig ist, um den Service anzubieten, zu verbessern und zu erhalten. („We may share your Personally Identifiable Information with third party service providers to the extent that it is reasonably necessary to perform, improve or maintain the WhatsApp Service.Quelle)

Definiere „Personenbezogene Daten“.

Dabei sollte der Nutzer auch beachten, dass Statusmeldungen oder anderer Inhalt, den man als Nutzer an einen anderen Nutzer sendet, von WhatsApp Inc. erst gar nicht als personenbezogenes Datum betrachtet wird: „Please note that any Status Submissions or other content posted at the direction or discretion of users of the WhatsApp Service becomes published content and is not considered personally identifiable information subject to this Privacy Policy“ (Quelle). Das dürften deutsche Gerichte und vor allem deutsche Datenschützer anders sehen.

Schlappe vor Gericht.

Obwohl das Unternehmen Nutzer weltweit und gezielt auch den deutschen Markt anspricht, werden Allgemeine Geschäftsbedingungen und Datenschutzerklärung ausschließlich in englischer Sprache auf der Website www.whatsapp.com zur Verfügung gestellt (Stand: 05. Februar 2016). Im Jahr 2014 hatte der Verbraucherzentrale Bundesverband (vzbv) bereits gegen WhatsApp geklagt, weil die Allgemeinen Geschäftsbedingungen nur auf Englisch zur Verfügung standen. Gegen das zunächst ergangene Versäumnisurteil hat WhatsApp Inc. rechtzeitig Einspruch eingelegt. Das Landgericht Berlin urteilte damals, dass das Impressum auf www.whatsapp.com unvollständig sei, sprach dem vzbv aber die Klagebefugnis hinsichtlich des Vorgehens gegen die nur englischsprachigen Geschäftsbedingungen ab (LG Berlin, Az. 15 O 44/13). Das Berufungsverfahren läuft. Seither wurde zumindest eine Postanschrift für WhatsApp Inc. hinzugefügt.

Verschlüsselung?

Ein anhaltendender Kritikpunkt ist auch die unzureichende Verschlüsselung von Nachrichten: Ende 2014 von WhatsApp angekündigt, haperte es doch an der praktischen Umsetzung. Mittlerweile scheint man jedoch an einer verifizierten Ende-zu-Ende-Verschlüsselung zumindest für Android zu arbeiten. Wann mit ordentlicher Verschlüsselung der Daten von Millionen WhatsApp-Nutzer auf Apple-Geräten zu rechnen ist, bleibt abzuwarten.

Online-Status trackbar.

Im Februar 2015 hatte der niederländische Entwickler Maikel Zweerink zudem dargelegt, dass die eigenen Datenschutzeinstellungen von WhatsApp praktisch irrelevant waren: Mit seinem Tool WhatsSpy Public konnte Zweerink z.B. den Online/Offline-Status von WhatsApp-Nutzern tracken, auch wenn der Nutzer mittels der Privatssphäreeinstellungen der App diesen Status verbergen wollte. Zwei Monate nach dieser Bekanntmachung hatte WhatsApp Inc. nicht reagiert. Anscheinend hielt man eine Änderung nicht für notwendig.

Fazit:

Artikel wie der vorliegende sind nicht als Handlungsanweisung zu verstehen. Sie wollen und sollen Problembewusstsein schärfen. Es gibt einige offensichtliche Gründe, die für die Nutzung von WhatsApp sprechen, einer davon die weite Verbreitung. Aus datenschutzrechtlicher Sicht gibt es jedoch einige nicht unwesentliche Kritikpunkte (von denen hier nur ausgewählte genannt wurden). Hierüber sollte jeder Nutzer sich im Klaren sein. Information ist in jeder Hinsicht das Zauberwort. Einen schnellen Überblick über die Sicherheit von Messaging Diensten und Apps bietet zum Beispiel die Bürgerrechtsorganisation EFF (letztes Update 03.11.2015). Mehr Informationen zum Thema Datenschutz in deutscher Sprache findet man beispielsweise hier.

Noch Fragen?

Bei Fragen zum Datenschutzrecht stehen wir gerne zur Verfügung. In einer ersten Einschätzung teilen wir Ihnen mit, welches Handeln wir empfehlen. Ebenfalls teilen wir Ihnen die Kosten für unser Tätigwerden mit. Sie können dann entscheiden, ob Sie unsere Dienste in Anspruch nehmen. Bis dahin werden keine Kosten ausgelöst.

Rufen Sie gleich an:

Tel. 040/411 67 62 5

Oder senden Sie uns eine E-Mail an info(at)ipcl-rieck.de oder ein Fax an 040/411 67 62 6. Wir melden uns bald möglichst bei Ihnen. Durch die Übersendung kommt noch kein Mandatsverhältnis zu Stande.

IPCL Rieck & Partner Rechtsanwälte – schnell, kompetent, bundesweit.