Daten­schutz­aspek­te bei WhatsApp

Whats­App gehört immer noch zu den belieb­te­sten Apps über­haupt. Die Mes­sen­ger-App ermög­licht den Aus­tausch von Nach­rich­ten über das Inter­net ohne zusätz­li­che Über­tra­gungs­ko­sten und über ver­schie­de­ne Betriebs­sy­ste­me hin­weg. Es meh­ren sich jedoch auch die kri­ti­schen Stim­men gegen­über Whats­App und Mut­ter­kon­zern Meta (ehe­mals „Face­book“). Zeit für einen Datenschutz-Check.

Whats­App, der Gigant unter den Messengern

Whats­App ist immer noch der Platz­hirsch unter den Mes­sen­gern, trotz aller War­nun­gen und daten­schutz­recht­li­cher Pro­ble­me. Nach einer Sta­ti­sta-Unter­su­chung von 2020 nutz­ten 94% der Befrag­ten Whats­App, gefolgt vom Face­book Mes­sen­ger mit 51%. Three­ma abge­schla­gen mit 3% und Signal mit nur 2%. Die Zah­len machen eins deut­lich, der Ver­zicht auf Whats­App fällt noch immer schwer oder erfor­dert eini­ges an Über­zeu­gungs­ar­beit im Freun­des- und Bekanntenkreis.

Daten­schutz-Pro­blem: Adress­buch­ab­fra­ge ohne Einwilligung

Durch das Urteil des AG Bad Hers­feld wur­de 2017 aller­hand Auf­re­gung geschürt. Der Rich­ter stell­te damals fest, dass die Mut­ter es unter­las­sen hat­te, ihr Kind bei der Han­dy­nut­zung ange­mes­sen zu beauf­sich­ti­gen. Im Rah­men die­ser Auf­sicht hät­te sie eine schrift­li­che Ein­wil­li­gung von allen Per­so­nen in dem Adress­buch ihres Kin­des vor der Wei­ter­ga­be deren Daten an Whats­App ein­ho­len müs­sen. Denn sonst bestün­de die Gefahr, dass das Kind von den Betrof­fe­nen abge­mahnt werde.
Zwar wür­de man mei­nen, dass Per­so­nen, die ihr Tele­fon aus­schließ­lich pri­vat nut­zen, kei­ne Ein­wil­li­gun­gen von ihren Kon­tak­ten ein­ho­len müs­sen. Denn nach Art. 2 Abs. 2 lit. c) DSGVO (oder zum Zeit­punkt des Urteils § 27 Abs. 1 S. 2 BDSG a.F.) wird eine Daten­ver­ar­bei­tung für per­sön­li­che und fami­liä­re Zwecke nicht vom daten­schutz­recht­li­chen Regel­werk erfasst. Folg­lich sind sie in die­sen Fäl­len nicht anwend­bar und eine Haf­tung nach der DSGVO ist damit aus­ge­schlos­sen. Doch auch das Gericht bejaht das Grei­fen der Haus­halts­aus­nah­me und nahm damals eine delikti­sche Haf­tung nach §§ 823, 1004 BGB ana­log an, da das Kind mit der Nut­zung von Whats­App das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung aller betrof­fe­nen Kon­takt­per­so­nen ver­let­ze. Wei­te­re Urtei­le oder Abmah­nun­gen in die­se Rich­tung folg­ten jedoch nicht.
Auf Fir­men­han­dys lässt sich Whats­App zur­zeit aus Daten­schutz­sicht oft­mals nicht kon­form ein­set­zen. Es wäre zunächst erfor­der­lich, von allen Kon­tak­ten die Ein­wil­li­gung zur Wei­ter­ga­be der Tele­fon­num­mern an Whats­App ein­zu­ho­len. Umge­hen lässt sich das Pro­blem nur, wenn die Whats­App-Anwen­dung in einer vir­tua­li­sier­ten IT-Umge­bung abge­schot­tet und iso­liert betrie­ben wird. Dane­ben muss die Busi­ness App mit ihren sepe­ra­ten Nut­zungs- und Daten­ver­ar­bei­tungs­be­din­gun­gen ver­wen­det wer­den. Eine sol­che Lösung sah das UDZ Saar­land im 28. Tätig­keits­be­richt 2019 (S. 74 ff.) in einer Über­prü­fung von Kom­mu­ni­ka­ti­ons­ka­nä­len der Kom­mu­nen als zuläs­sig an. Seit die­ser Bewer­tung wur­de das Pri­va­cy Shield vom EuGH gekippt und Whats­App hat sei­ne Daten­ver­ar­bei­tungs­be­din­gun­gen für Busi­ness-Nut­zer mehr­fach ange­passt, sodass die­se Punk­te vor einem Ein­satz im Unter­neh­men erneut zu prü­fen wären.
Bei gemischt genutz­ten Gerä­ten soll­ten die dienst­li­chen Daten durch eine Con­tai­nerlö­sung geschützt wer­den. Hier­bei wer­den dienst­li­che Daten wie z.B. Kon­tak­te in einer Con­tai­ner-App gespei­chert, so dass Apps wie Whats­App kei­nen Zugriff auf die­se Daten haben. So ist auch bei Fir­men­han­dys mit erlaub­ter Pri­vat­nut­zung die Nut­zung von Whats­App mit dem Daten­schutz vereinbar.

Kann man die Wei­ter­ga­be der Tele­fon­num­mern an Whats­App unterbinden?

Bei der Instal­la­ti­on der App wird die Ein­ga­be der eige­nen Tele­fon­num­mer gefor­dert und um die Erlaub­nis zur Adress­buch­ab­fra­ge gebe­ten. Bei Zustim­mung erstellt die Soft­ware eine Favo­ri­ten­li­ste mit den­je­ni­gen Kon­tak­ten aus dem Adress­buch, die eben­falls Whats­App ver­wen­den. Dass dabei Daten der Nut­zer über­tra­gen und ver­ar­bei­tet wer­den, liegt auf der Hand.
Der Zugriff auf die Tele­fon­num­mern lässt sich sowohl bei iOS als auch bei Android im Betriebs­sy­stem direkt steu­ern und damit die Wei­ter­ga­be an Whats­App unter­bin­den. Das hat natür­lich auch zur Fol­ge, dass die Kon­tak­te nicht mehr in Whats­App ange­zeigt wer­den und so wäre der Nut­zer gezwun­gen auf die Nach­richt eines ande­ren zu war­ten, um einen Chat zu begin­nen. Eine ande­re Mög­lich­keit ist die ange­spro­che­ne Containerlösung.

Was macht Whats­App mit den Telefonnummern?

Whats­App nutzt die Tele­fon­num­mer als „Uni­que Iden­ti­fier“ also als Datum, um das Gerät bzw. den Nut­zer ein­deu­tig zu iden­ti­fi­zie­ren. Die­se wer­den in erster Linie genutzt, um sie mit dem Adress­buch neu­er Nut­zer abzu­glei­chen und denen dann Über­ein­stim­mu­gen als Kon­tak­te vor­zu­schla­gen. Dane­ben wer­den bei der Adress­buch­ab­fra­ge aber auch die Tele­fon­num­mern von Per­so­nen ver­ar­bei­tet, die (noch) nicht bei Whats­App regi­striert sind. Die­se Tele­fon­num­mern wer­den in einem spe­zi­el­len Ver­fah­ren gehasht, mit der Tele­fon­num­mer des regi­strier­ten Nut­zers ver­knüpft und von Whats­App gespei­chert. Das pas­siert, um den regi­strier­ten Nut­zern eine Benach­rich­ti­gung zu schicken, falls sich ein bis­her nicht regi­strier­ter Kon­takt spä­ter doch noch einen Whats­App Account einrichtet.
Die­ser Vor­gang stellt aus Sicht des EDSA (S. 26 ff.) ledig­lich eine Pseud­ony­mi­sie­rung und kei­ne wie von Whats­App behaup­te­te Anony­mi­sie­rung der Tele­fon­num­mern dar. Denn durch das ein­ge­setz­te Hash­ver­fah­ren und die unglaub­li­chen Daten­men­gen, die dem Kon­zern zur Ver­fü­gung ste­hen, sei das Risi­ko hoch, dass die Nicht-Nut­zer von Whats­App rei­den­ti­fi­ziert wer­den könn­ten. An der Ein­schät­zung ände­re auch die Beteue­rung von Whats­App nichts, dass das Unter­neh­men dar­an kein Inter­es­se hät­te, da man ja schließ­lich aus eben die­sem Des­in­ter­es­se die Daten über­haupt erst „anony­mi­siert“ hätte.
Dane­ben hat Whats­App, nach dem jüng­sten Auf­schrei der Öffent­lich­keit über die neu­en Nut­zungs­be­din­gun­gen im Febru­ar 2021, den Aus­tausch eini­ger Infor­ma­tio­nen mit dem Mut­ter­kon­zern Meta „prä­zi­siert“, bzw. vor­erst von die­sem Abstand genom­men. So heißt es aktu­ell im FAQ (Stand 16.11.2021):
„Der­zeit teilt Whats­App dei­ne per­so­nen­be­zo­ge­nen Daten nicht mit Face­book, um dei­ne Pro­dukt­er­leb­nis­se auf Face­book zu ver­bes­sern oder dir inter­es­san­te­re Face­book-Anzei­gen zu zeigen.“
Es wer­den aller­dings wei­ter­hin Daten zu ande­ren sehr vagen Zwecken geteilt. So heißt es:
„Whats­App arbei­tet mit den ande­ren Face­book-Unter­neh­men zusam­men und teilt Infor­ma­tio­nen mit ihnen, um von Lei­stun­gen in den Berei­chen Infra­struk­tur, Tech­no­lo­gie und Syste­me pro­fi­tie­ren zu können.“

Wel­che Daten sam­melt Whats­App sonst noch?

Whats­App sam­melt alle von den Nut­zern selbst ange­ge­be­nen Daten wie Anzei­gena­me, Tele­fon­num­mer, Sta­tus und Pro­fil­bild. Nach­rich­ten wer­den grund­sätz­lich nicht auf den Whats­App-Ser­vern gespei­chert, es sei denn der ande­re Nut­zer ist nicht erreich­bar. In die­sem Fall wird die Nach­richt 30 Tage zwi­schen­ge­spei­chert und anschlie­ßend auto­ma­tisch gelöscht. Fotos wer­den laut Whats­App nur zwi­schen­ge­spei­chert und anschlie­ßend gelöscht. Um stän­dig auf dem aktu­el­len Stand zu blei­ben, wer­den alle Kon­tak­te aus dem Adress­buch aus­ge­le­sen und regel­mä­ßig mit der Whats­App-Daten­bank abgeglichen.
Whats­App bie­tet die Mög­lich­keit an, Chat­ver­läu­fe auf Goog­le Dri­ve und/​oder einem loka­len Back­up zu sichern. Dabei ent­fällt logi­scher­wei­se die Whats­App Ende-zu-Ende-Ver­schlüs­se­lung. Wählt man „die ein­fach­ste Mög­lich­keit, Daten auf ein neu­es Tele­fon zu über­tra­gen“, lie­gen die Gesprä­che unver­schlüs­selt auf dem Ser­ver des ame­ri­ka­ni­schen Cloud-Anbieters.
Whats­App ist aber auch an wei­te­ren Daten inter­es­siert. Oft geht es um Meta­da­ten, also z.B. nicht um den Inhalt eines Tele­fo­nats über Whats­App oder den Inhalt einer Nach­richt, son­dern wann eine Per­son wie oft und wie lan­ge kon­tak­tiert wur­de. Aus die­sen Infor­ma­tio­nen ergibt sich dann ein umfas­sen­des Bild zu einer bestimm­ten Per­son und so las­sen sich sehr gute Pro­fi­le erstellen.

Daten­schutz­kri­tik am Daten­aus­tausch zwi­schen Whats­App und Facebook

Die beim Kauf von Whats­App durch Face­book einst ver­spro­che­ne Unab­hän­gig­keit des Mes­sen­gers war schnell ver­ges­sen. Whats­App wur­de immer wei­ter in die Kon­zern­struk­tur von Face­book inte­griert und somit wur­den auch mehr und mehr Daten zwi­schen den ein­zel­nen Unter­neh­men aus­ge­tauscht. Nach anfäng­li­chen Erfol­gen der deut­schen Daten­schutz­auf­sichts­be­hör­den die­ser Ent­wick­lung einen Rie­gel vor­zu­schie­ben, schei­tert die Unter­sa­gung des Daten­aus­tausch zwi­schen Whats­App und Face­book seit Anwend­bar­keit der DSGVO an der feh­len­den Zustän­dig­keit der deut­schen Behör­den.
Die iri­sche Behör­de (DPC) ist nun die feder­füh­ren­de Behör­de für vie­le „Big-Tech-Unter­neh­men“ wie z.B. Whats­App bzw. Meta. Nach dem sog. „One-Stop-Shop“-Verfahren gemäß Art. 56 DSGVO ist bei grenz­über­schrei­ten­den Sach­ver­hal­ten die Behör­de am Sitz der Haupt­nie­der­las­sung feder­füh­rend zustän­dig. Der Gedan­ke war, Unter­neh­men weni­ger Büro­kra­tie und mehr Rechts­si­cher­heit zu ver­schaf­fen, indem sie sich in Ver­fah­ren nicht mehr mit Auf­sichts­be­hör­den in meh­re­ren EU-Mit­glied­staa­ten und ihren Rechts­auf­fas­sun­gen aus­ein­an­der­set­zen müs­sen. Doch wenn die feder­füh­ren­de Auf­sichts­be­hör­de nicht tätig wird oder Ver­fah­ren nur schlep­pend bear­bei­tet, haben die übri­gen euro­päi­schen Auf­sichts­be­hör­den, in deren Hoheits­ge­biet das Unter­neh­men auch tätig ist, kaum Mög­lich­keit das Ver­fah­ren in Gang zu brin­gen oder es zu beschleu­ni­gen.
Die wei­ter­be­stehen­de Kri­tik vie­ler Daten­schutz­ex­per­ten an Whats­App ist, dass das Tei­len der Daten über einen Nut­zer mit Face­book weder trans­pa­rent ist, noch der Nut­zer dar­in frei­wil­lig ein­ge­wil­ligt hat. Um den Dienst von Whats­App nut­zen, muss man die Nut­zungs­be­din­gun­gen anneh­men – der Nut­zer kann gera­de nicht ent­schei­den, wel­che Daten er tei­len möch­te. Eine frei­wil­li­ge und infor­mier­te Ein­wil­li­gung sieht anders aus.

Zweit­höch­stes DSGVO-Buß­geld und wei­te­re Ver­fah­ren gegen WhatsApp

Die­ses Jahr wur­de das zweit­höch­ste Buß­geld in der Geschich­te der DSGVO in Höhe von 225 Mil­lio­nen Euro gegen Whats­App ver­hängt. Bei dem Ver­fah­ren aus dem Jah­re 2018 ging es vor allem um Ver­stö­ße gegen die Trans­pa­renz­vor­ga­ben aus Art. 12 bis 14 DSGVO. Dane­ben lau­fen gegen den Kon­zern bei der Auf­sichts­be­hör­de in Irland noch 9 wei­te­re Ver­fah­ren, wie aus dem Jah­res­be­richt des DPC hervorgeht:
  • Zu einer Daten­pan­ne im Sep­tem­ber 2018
  • Zu der Umset­zung des Aus­kunfts­rechts und Recht auf Datenübertragbarkeit
  • Zu der Recht­mä­ßig­keit der in den Nut­zungs­be­din­gun­gen und Daten­richt­li­nie ange­ge­be­nen Rechts­grund­la­gen für die Datenverarbeitung
  • Zu der Recht­mä­ßig­keit der Rechts­grund­la­ge für maß­ge­schnei­der­te Werbung
  • Zu einer gan­zen Rei­he von seit dem 25.05.2018 gemel­de­ten Datenpannen
  • Zu der Spei­che­rung von Pass­wör­tern im Klar­text auf inter­nen Servern
  • Zu der Ein­hal­tung der Vor­schrif­ten des inter­na­tio­na­len Daten­trans­fers nach Schrems II
Außer­dem führt das Bun­des­kar­tell­amt seit 2019 ein sehr span­nen­des Ver­fah­ren gegen Face­book. Das Bun­des­kar­tell­amt (BKar­tA) hat­te dem Kon­zern das Zusam­men­füh­ren von Nut­zer­da­ten aus sei­nen ver­schie­de­nen Dien­sten ohne Ein­wil­li­gung der Nut­zer unter­sagt. Gegen die Unter­sa­gung leg­te Face­book Beschwer­de beim OLG Düs­sel­dorf ein, wel­ches zunächst eine Aus­set­zungs­an­ord­nung aus­sprach. Nach­dem der BGH die­se wie­der­um auf­hob und den Vor­wurf der miss­bräuch­li­chen Aus­nut­zung einer markt­be­herr­schen­den Stel­lung durch Face­book vor­läu­fig bestä­tig­te, wähn­te man einen Abschluss des Ver­fah­rens nahe. Doch das OLG Düs­sel­dorf hat den nun in der Haupt­sa­che ver­han­del­te Fall aber­mals unter­bro­chen, um dem EuGH Fra­gen zur Aus­le­gung des Daten­schutz­rechts vor­zu­le­gen. Ein Ende des Rechts­streits ist somit erneut in wei­te Fer­ne gerückt. Seit Ende 2020 läuft zudem eine ver­brau­cher­recht­li­che Sek­tor­un­ter­su­chung des Bun­des­kar­tell­amts zu Mes­sen­ger-Dien­sten, bei der Whats­App erneut im Fokus steht.

Whats­App ist erfolg­reich, trotz Datenschutz-Kritik

Es gibt viel Kri­tik an Whats­App, doch der Gigant unter Mes­sen­gern lässt nicht so leicht locker. Frag­lich ist, ob Whats­App sich in die Knie zwin­gen lässt und zukünf­tig eine “ech­te” (frei­wil­li­ge & infor­mier­te) Ein­wil­li­gung sei­ner Nut­zer für die Wei­ter­ga­be von Daten an Meta ein­ho­len wird. Dies scheint nach aktu­el­lem Stand eher unwahr­schein­lich. Man wird wei­ter die Gren­zen aus­te­sten und Ver­fah­ren ver­zö­gern. Solan­ge kein ent­schlos­se­nes Han­deln der Regu­lie­rungs­be­hör­den bei Buß­gel­dern oder ande­re Maß­nah­men zu befürch­ten ist, wird der Kon­zern wei­ter­ma­chen wie gehabt.
Doch wie kann es sein, dass bei so viel Kri­tik die Nut­zer bei Whats­App blei­ben? Schuld ist der Netz­werk­ef­fekt. Da vie­le Nut­zer bei Whats­App sind, ist es für ande­re wie­der­rum attrak­tiv, über Whats­App zu kom­mu­ni­zie­ren oder dort zu blei­ben. Neue Anbie­ter haben es schwe­rer, doch ihr Markt wächst, denn das Bedürf­nis nach mehr Pri­vat­sphä­re und Daten­schutz steigt. Es bleibt abzu­war­ten, wie sich die­se neu­en Anbie­ter ver­hal­ten wer­den und ob das Spiel um Daten nicht an ande­rer Stel­le fort­ge­setzt wird.