WhatsApp ist ein sogenannter Instant-Messenger-Dienst, der es erlaubt, zwischen registrierten Nutzern Text- und Sprachnachrichten sowie Fotos, Videos, Audiodateien und Kontaktdaten auszutauschen und via IP-Telefonie über das Internet zu telefonieren. Der Dienst wurde 2009 gegründet; der Sitz des Unternehmens ist in Santa Barbara, Kalifornien, in den USA. Im Oktober 2014 wurde WhatsApp von dem Sozialen Netzwerk Facebook übernommen.
Ca. 70% aller deutschen Bürgerinnen und Bürger nutzen WhatsApp. Der Facebook Dienst ist damit der meistgenutzte Messengerdienst in Deutschland. Bei der seinerzeitigen Übernahme von WhatsApp durch Facebook hatte der Konzern zugesichert, dass WhatsApp auch künftig selbstständig bleibe und kein Datenaustausch zwischen den beiden Unternehmen stattfinde. Im Rahmen einer Änderung der Nutzungsbedingungen ist nunmehr jedoch vorgesehen, dass WhatsApp Daten seiner Nutzer mit anderen Facebook-Unternehmen teilt. In diesem Zusammenhang hat die EU-Kommission Facebook mit einer Strafzahlung von mehr als 100 Mio. Euro belegt.
Neben der Frage des Datenaustauschs war eine WhatsApp-Nutzung insbesondere hinsichtlich dreier Aspekte problematisch:
- der Tatsache, dass WhatsApp als Anbieter außerhalb des Geltungsbereichs europäischer Datenschutzvorschriften fungiert,
- der Vertraulichkeit der Kommunikation sowie
- der regelmäßigen Übertragung von Kontaktdaten aus dem Adressbuch des Smartphones.
Seit April 2016 hat WhatsApp eine Ende-Zu-Ende-Verschlüsselung implementiert, die eine vertrauliche Kommunikation gewährleistet und verhindert, dass WhatsApp oder Dritte auf Chat-Inhalte zugreifen können. Diese entspricht dem Stand der Technik, so dass, solange keine Schwachstellen der Implementierung oder anderweitige Zugriffsmöglichkeiten Dritter bekannt werden, von einer ausreichenden Vertraulichkeit der Kommunikation auszugehen ist.
Unabhängig von den Kommunikationsinhalten hat WhatsApp jedoch weiterhin Zugriff auf die Metadaten der Kommunikation (Absender, Empfänger, Zeitpunkt, Größe etc.). Weitere, aus Sicht des LfDI problematische Punkte sind die unverschlüsselte Speicherung von WhatsApp-Daten im Rahmen von Cloud-Backups, die unverschlüsselte Speicherung der Daten auf dem jeweiligen Endgerät sowie die Speicherung von Chat-Anhängen (Fotos, Videos) in der jeweiligen Smartphone Mediathek. Letzteres insbesondere deshalb, da im Rahmen der erteilten Berechtigungen gegebenenfalls andere Apps Zugriff erhalten.
Den größten Kritikpunkt stellt jedoch weiterhin die regelmäßige Übertragung der Telefonnummern aus dem Adressbuch des Nutzers an WhatsApp da, da diese automatisch und ohne Differenzierung nach dem Status der Telefonbucheinträge erfolgt.
Betroffen sind damit nicht nur die Telefonnummern von WhatsApp-Nutzern sondern auch diejenigen der sonstigen Kontakte, d.h. von Personen, die mit WhatsApp in keinerlei Verbindung stehen. WhatsApp verlagert die Verantwortung hierfür auf die Nutzer, indem diese mit der Anerkennung der Nutzungsbedingung bestätigen, zur Weitergabe der Daten autorisiert zu sein. Die dabei unterstellte Abstimmung eines Nutzers mit den in seinem Adressbuch genannten Personen über deren Einverständnis in die Weitergabe ihrer Daten an WhatsApp bzw. die Löschung der Kontakte, die ihre Einwilligung hierzu nicht erteilen, dürfte nach Einschätzung des LfDI in der Praxis nicht erfolgen. Damit würden in den allermeisten Fällen Daten ohne Kenntnis und Zustimmung betroffener Personen an WhatsApp übermittelt. Deswegen ist eine rechtskonforme WhatsApp-Nutzung nur möglich, wenn sichergestellt ist, dass eine entsprechende Datenübermittlung nicht erfolgt bzw. alle betroffenen Personen eine wirksame Einwilligung erteilt haben. Ersterem kann dadurch entsprochen werden, dass für entsprechende WhatsApp-Szenarien dienstliche/geschäftliche Mobiltelefone zum Einsatz kommen, die eine Vermischung privater und dienstlicher/geschäftlicher Kontakte vermeiden und deren Adressbücher ausschließlich Telefonnummern der WhatsApp-Kontakte enthalten bzw. allein die Telefonnummer des jeweiligen Diensteanbieters.
Als problematisch erweist sich in diesem Zusammenhang zumeist die Nutzung privater Mobiltelefone für dienstliche/geschäftliche Zwecke, da es hierbei zu einer Vermischung privater mit dienstlichen/geschäftlichen Daten kommt. Weiterhin hat der Arbeitgeber nur bedingt Einflussmöglichkeiten auf die Konfiguration der privaten Geräte und deren Nutzung.
Fazit:
WhatsApp als Messenger-Dienst ist nicht a priori datenschutzwidrig, aktuelle Probleme resultieren weniger aus der Gestaltung des Dienstes, sondern aus dessen Einsatzbedingungen in der Praxis. Ein datenschutzkonformer WhatsApp-Einsatz ist unter bestimmten Voraussetzungen möglich. Hierzu zählen
- der Einsatz aktueller Software-Versionen, um eine Verschlüsselung der Kommunikationsinhalte zu gewährleisten
- der Einsatz dienstlicher/geschäftlicher Mobiltelefone; eine Nutzung privater Endgeräte kommt nur ausnahmsweise und verbunden mit tragfähigen Container-Lösungen in Betracht
- die Nutzung eines „one-record-Adressbuchs“ mit ausschließlich der Telefonnummer des Diensteanbieters, eines Telefonbuchs mit ausschließlich WhatsApp-Kontakten oder eine Sperre des Adressbuchzugriffs durch WhatsApp
- die Deaktivierung von Cloud-Backups
- die Sicherstellung, dass Chat-Anhänge nicht in der Mediathek des Mobiltelefons gespeichert werden bzw. Dritt-Applikationen keine Zugriff darauf haben
- eine ausreichende Absicherung der Endgeräte (Zugriffssperre, Verschlüsselung)