WhatsApp und die DSGVO

Gelesen in 6 Minuten

Trotz, oder grade wegen der neuen Datenschutzgrundverordnung (DSGVO), teilt WhatsApp nun fleißig Nutzerdaten mit dem Mutterkonzern Facebook und weiteren “vertrauenswürdigen Drittanbietern”. Wer das nicht will, hat wenig Möglichkeiten, dass zu verhindern.

Nachdem die DSGVO in Kraft getreten ist, sind Unternehmen verpflichtet, transparent und lückenlos über die Speicherung, Verarbeitung und Weitergabe persönlicher Kundendaten zu informieren. WhatsApp hat daher kürzlich seine AGB aktualisiert. Jeder von euch, der WhatsApp nutzt, wird das gesehen haben. Wenn ihr auf Akzeptieren klickt, erklärt ihr euch damit einverstanden, dass nun zahlreiche persönliche Daten an allerhand Unternehmen und Dienstleister weitergegeben werden. Ob ihr euch darüber im Klaren seid oder nicht, spielt für WhatsApp keine Rolle. Sie meinen es wäre im Rahmen der DSGVO, auch wenn euch die neuen Datenschutzbestimmung nicht direkt angezeigt werden.

 

Welche Daten werden geteilt?

Solltet ihr WhatsApp nutzen und den neuen AGB zugestimmt haben, überlegt beim Lesen der folgenden Liste mal, ob ihr euch über die einzelnen Punkte in Klaren seid. WhatsApp meint, ihr seid es. Und wenn ihr bei allen Punkten mit “ja” antwortet, dann schreibt es mir bitte in die Kommentare. Folgende Daten werden geteilt (Quelle):

  • Telefonnummer (okay, das ist klar)
  • Gerätekennung
  • Betriebsystemversion
  • Installations- bzw. Registrierungsdatum
  • Ländercode der Mobilfunknummer
  • jede Statusänderung
  • jede Nutzung einer Funktion (Chat, Bild versenden, Videoanruf tätigen, usw…)
  • Datum und Uhrzeit der letzten Nutzung von WhatsApp

WhatsApp meint, das sind “nur wenige Informationen”. Was wenig und was viel ist, kann für jeden unterschiedlich sein. Eine einstellige Zahl sieht natürlich immer nach “wenig” aus. Fakt ist jedoch, und das kann man schwer leugnen, dass sich aus diesen Daten schon ein umfassendes Bild über euch machen lässt. Erst recht, wenn mehrere Geräte verwendet und die Daten regelmäßig erhoben werden. Und besonders, wenn sie mit den Datenbeständen von Facebook angereichert werden. Und ganz besonders, wenn auch noch “vertrauenswürdige Drittanbieter” ins Spiel kommen. Wer entscheidet eigentlich, welcher Anbieter vertrauenswürdig ist? Natürlich WhatsApp.

Besonders perfide finde ich diesen Satz (Auszug, Quelle):

Nichts von dem, was du über Whatsapp teilst, einschließlich deiner Nachrichten, Fotos und Account-Infos, wird über Facebook oder irgendeine andere Anwendung aus unserer App-Familie sichtbar für andere geteilt, und nichts von dem, was du in diesen Apps veröffentlichst, wird sichtbar für andere über Whatsapp geteilt, es sei denn, du selbst wählst die Option, dies zu tun.

Diese “Option” wählt ihr allerdings automatisch, wenn ihr den “Akzeptieren”-Button neben den AGB klickt. Euch (und mir) wird also suggeriert, dass wir die volle Kontrolle haben. Die haben wir aber nicht. In den Einstellungen gibt es keinen Knopf, mit dem man diese ominöse Option ein- und ausschalten kann. Stattdessen kann man der Weitergabe der Daten per Mail widersprechen, auch wenn man den AGB bereits zugestimmt hat. Macht euch aber keine Hoffnungen, das ist weder wirksam noch einfach. Diesbezüglich später mehr.

 

Begründung der Datenverarbeitung

Zu welchem Zweck erhobene Daten verarbeitet werden, muss nach der DSGVO bekannt gemacht werden. WhatsApp hat dazu folgende Erläuterung verfasst (Auszug, Quelle):

Und das wiederum trägt dazu bei, dass Whatsapp mehr Möglichkeiten hat, sich mit potenziellen Funktionen auseinanderzusetzen oder Produktverbesserungen zu fördern

Ist nichts gegen einzuwenden. Jedes Unternehmen will wissen, wo es steht und wie es sich verbessern kann. Im weiteren Verlauf heißt es jedoch:

Die Sicherheit und den Schutz für WhatsApp und die Produkte der Facebook-Unternehmen zu gewährleisten, indem wir Spam-Konten entfernen und missbräuchliche Aktivitäten unterbinden

Wie soll Speicherung meines Nutzungsverhaltens dabei helfen, das Unternehmen zu schützen? Eine missbräuchliche Nutzung lässt sich nicht aus Metadaten erkennen, sondern an Anfragen gegen den Dienst, die außerhalb des vorgesehenen Rahmens stattfinden. Etwas einfacher formuliert: Wenn ich irgendeine Schwachstelle im Programmcode von WhatsApp nutze, um deren Dienste zu hacken, dann kann das nur durch die Sicherheitsmechanismen in der Serverstruktur oder des Programms selbst, erkannt und verhindert werden. Im Vorfeld gespeicherte Metadaten hinzuzuziehen, kommt einer Vorratsdatenspeicherung gleich. Wer eure Metadaten zur Gefahrenabwehr verwendet, stellt euch damit auf eine Stufe mit Kriminellen und beobachtet ohne konkreten Anlass, ob ihr nicht irgendwas im Schilde führt. Ihr steht für WhatsApp (und Facebook) unter Generalverdacht. Das muss man sich mal auf der Zunge zergehen lassen.

 

Vertrauenswürdige Drittanbieter

Über diese Drittanbieter, von denen WhatsApp da redet, kann ich nicht viel sagen. Sicherlich gibt es zahlreiche Rechenzentren und Netzbetreiber, die bei der Bereitstellung der Infrastruktur helfen müssen. Ein Unternehmen kann einen solch gigantischen Dienst nicht alleine stemmen. Muss es auch nicht. Von daher ist es naheliegend, das Teile eurer Daten als Verkehrsdaten genutzt werden müssen, damit eure Nachrichten auch ankommen. Leider schlampt WhatsApp an dieser Stelle. Es ist weder bekannt, wer diese Drittanbieter sind, noch welche Daten genau sie erhalten, noch wozu sie sie benötigen. Davon steht nichts in den Datenschutzbestimmungen und das ist ein Verstoß gegen die DSGVO, um es mal ganz deutlich zu sagen. Sogar PayPal bekommt das besser hin. Zwar nicht ausreichend, aber immerhin besser.

Dass es sich hier um Infrastrukturanbieter handelt, ist außerdem nur eine Vermutung von mir. Für mich ist das noch das Naheliegendste. Es ist gut möglich, dass auch andere Drittanbieter im Spiel sind. Immerhin entscheidet ja WhatsApp für euch, wer ein “vertrauenswürdig” ist.

 

Widerrufsformular

Weiter oben habe ich euch von einem Widerrufsformular erzählt. Eigentlich ist es eher eine Anleitung, wie ihr der Weitergabe persönlicher Daten widersprechen könnt. Es wird darum gebeten, einige persönliche Angaben und eine Begründung …

unter dieser E-Mail-AdresseObjection.eu@support.whatsapp.comWhatsApp Support – WiderspruchBitte bearbeite diesen Teil mit den folgenden Informationen.

Ja, das steht da wirklich. Zumindest als ich diesen Beitrag verfasst habe. Den Teil, der mir wir eine E-Mail-Adresse vorkommt (objection.eu@support.whatsapp.com), ist tatsächlich eine E-Mail-Adresse. Hab’s getestet. Bevor ich den Widerspruch schreibe, werfen wir mal einen Blick auf die Anleitung und schauen, was noch verlangt wird:

  • Gegen welche Datenverarbeitungsaktivität(en) möchtest du Widerspruch einlegen?
  • Bitte erläutere, welche Auswirkungen diese Verarbeitung für dich hat. Welche Rechte und Freiheiten werden deiner Meinung nach durch die Verarbeitung beeinträchtigt und warum?
  • Stelle uns bitte alle weiteren Informationen zur Verfügung, die uns deiner Meinung nach dabei helfen, deinen Widerspruch zur prüfen.

Ersteres lässt sich noch ziemlich leicht zusammenfassen. Bei Punkt Zwei allerdings fällt es mir schwer, auch nur ansatzweise eine Formulierung zu finden, die verhindert das der Antrag nicht abgelehnt wird. Woher sollen wir wissen, welche Auswirkungen die Verarbeitung hat, wenn wir nicht mal wissen, wer die Daten verarbeitet? WhatsApp zwingt euch dazu, von etwas zu reden, wovon ihr keine Ahnung habt, damit sie am Ende behaupten können, die Angaben reichen nicht aus. Laut DSGVO ist man nicht verpflichtet, diese Angaben zu machen, was im Übrigen auch für den Dritten Punkt gilt. Sollte euch doch eine passende Formulierung einfallen (bitte in die Kommentare damit, ich bin sehr neugierig), dann ist es gut möglich, dass sie einfach abgewiesen wird. Denn sollte WhatsApp zu dem Entschluss kommen:

dass unsere legitimen Interessen (oder die von Dritten) deine Interessen oder Grundrechte und -freiheiten überwiegen.

ist der Widerspruch so wirkungslos wie ein Tropfen auf den heißen Stein. Und das kann ich euch versprechen: WhatsApp (bzw. Facebook) wird die eigenen Interessen immer höher Priorisieren als eure Privatsphäre. Das haben sie in der Vergangenheit mehr als ein Mal empirisch bewiesen.

 

Was bleibt, ist die Kontolöschung

Ich bin ein Freund von pragmatischen Lösungen. Die Löschung des eigenen WhatsApp-Accounts scheint mir unter diesen Umständen die effektivste Methode zu sein, um die Verwendung von persönlichen Daten auf ein absolutes Minimum zu reduzieren. Ich schreibe bewusst “reduzieren”. Denn solange irgendjemand eure Handynummer in seinem Smartphone hat und gleichzeitig WhatsApp benutzt, sind immer noch Reste eurer Daten in deren System.

Eine Empfehlung den Account zu löschen, möchte ich euch an dieser Stelle noch nicht aussprechen, aber ich bin verdammt nah dran. Mal sehen, ob ich auf meine Mail an WhatsApp eine befriedigende Antwort erhalte, oder ob ich weitere Schritte einlassen muss. Denn wenn mein Widerspruch abgelehnt wird, habe ich

die Möglichkeit, beim Verantwortlichen der irischen Datenschutzbehörde (IDPC), unter deren Zuständigkeit wir fallen, eine Beschwerde einzureichen und Rechtsbehelf gemäß Artikel 12(4) DSGVO einzulegen.

Na das wird ein Spaß.

Kommentar (4)

  • Vz| 7. Juni 2018

    Was ist den mit den Daten Dritter (Adressbuch), die Whatsapp übermittelt. Sollte man als Nicht-Benutzer nicht auch widersprechen, dass die genutzt und weitergegeben werden?

    • Peter| 7. Juni 2018

      Interessant! Meines erachtens nach, sagt die DSGVO, dass man von WhatsApp im Vorfeld gefragt werden muss, statt als Nichtnutzer selbst widersprechen zu müssen. Da diese Kontaktaufnahme an Nichtnutzer per DSGVO aber untersagt ist, hat WhatsApp gar nicht die Möglichkeit.
      Stattdessen überlässt WhatsApp die Einholung der Zustimmung(en) den Nutzern. Diese bestätigen mit den AGB, dass sie die Einwilligung aller Nutzer haben. Gerichtlich wurde dass schon als ungültig erklärt (zumindest für private Haushalte), aber es wird trotzdem noch gemacht.
      Ich frage mal bei WhatsApp nach und veröffentliche die Antwort hier.

  • Susan| 20. Juni 2018

    Vielen Dank für diese kritische Einschätzung. Ich bin gerade auf der suche im netz nach mehr informationen, weil mich wa nun endgültig dazu zwingt, den neuen bestimmungen zuzustimmen. Und ich bin entsetzt über die von dir gut beschriebenen absurden Begründungsanforderungen. Ich wundere mich, dass das noch nicht skandalisiert worden ist und ich bin auf jeden Fall an Erfahrungsberichten zum Widerspruchsverfahren interessiert. Ich hatte angenommen, dass es schon so etwas wie Vorlagen, Muster etc. geben muss, aber wenn die Anforderungen an die Begründung so viel Wissen und Risikoabschätzung voraussetzen, wird das wohl nicht so leicht passieren. Ich habe jedenfalls nichts dazu im Netz gefunden. Zumal whats app es sich vorbehält, den Account nach Widerspruch zu deaktivieren bzw. dies im Unklaren lässt. Unglaublich all das. Vielleicht könnte man das noch mal an die einschlägigen Seiten (netzpolitik etc.) und Blogger schicken. Vielen Dank jedenfalls für diese deine Pionierarbeit. Und ja, löschen ist wahrscheinlich die beste Option … Und bitte halte uns auf dem Laufenden, was mit deinem Widerspruch passiert.

    • Peter| 21. Juni 2018

      Hallo Susan,
      ich halte euch auf jeden Fall auf dem Laufenden. Bis jetzt ist nicht viel passiert, was es wert wäre, einen Beitrag zu bekommen. Daher hier der Schnelldurchlauf:
      – Anfrage an die im Beitrag genannte E-Mail-Adresse geschickt
      – als Antwort kam die Aufforderung weitere persönliche Infos und eine genaue Begründung zu liefern
      – habe ich am 11.06. geliefert, bis jetzt noch keine Reaktion von WhatsApp.
      Wenn Du möchtest, verteil den Link überallhin. Mit netzpolitik.org bin ich schon in Kontakt, sowohl wegen diesem Beitrag, als auch wegen ein paar Dingen die Microsoft abzieht. Beitrag dazu folgt.
      Und danke für das Kompliment 🙂
      Pionierarbeit. Das ging runter wie Öl.

  • Schreibe eine Antwort

    Deine E-Mail-Adresse wird nicht veröffentlicht.