WhatsApp ist genau wie Facebook dafür bekannt, nicht gerade zu den datenschutzrechtlichen Spitzenreitern zu gehören.
Plötzlich soll aber eine sichere und verschlüsselte Kommunikation mittels der Nachrichten-App möglich sein?
Lesen Sie im Folgenden, ob sich aus datenschutzrechtlicher Sicht tatsächlich etwas geändert hat, was die Hintergründe hierbei sind und was man sich von der neuen Verschlüsselung erhoffen darf.
Dies bedeutet, dass alle verschickten Inhalte in Form von Texten, Sprachnachrichten, Bildern, Videos oder Anrufen, vom Absender bis zum Empfänger für Dritte nicht lesbar sind.
Übertragene Daten werden vor dem Absenden automatisch beim Sender verschlüsselt und erst beim Empfänger entschlüsselt.
Das heißt, dass auch das Unternehmen selbst keinen Zugriff auf Inhalte hat, da diese dort in verschlüsselter Form einen Zwischenstopp einlegen und genauso verschlüsselt zum Empfänger weitergeleitet werden. Erst dort kommt es dann zu einer Entschlüsselung.
Bereits im November 2014 hatte WhatsApp verkündet, dass eine Ende-zu-Ende-Verschlüsselung in Planung ist, welche in Kooperation mit Open Whisper Systems (OWS) erfolgen soll. OWS ist für ihren sicheren ‚Signal – Private Messanger‘ (ehemals ‚Axolotl‘) unter dem Motto „Privacy is possible. Signal makes it easy“ bekannt.
Dies klang mithin also bereits recht vielversprechend. Eine Verschlüsselung war sodann auch möglich, jedoch ausschließlich zwischen Android-Geräten. User konnten außerdem nicht erkennen, ob ihre Inhalte chiffriert übermittelt wurden.
Nun, im Jahr 2016, ist eine Verschlüsselung für alle WhatsApp Nutzer möglich, unabhängig von der jeweils genutzten Plattform (Android, iPhone, Windows Phone, Nokia S40, Nokia S60, Blackberry und BB10).
Versuche die Verschlüsselung zu umgehen oder auszutricksen seien wohl nun nicht mehr möglich.
Dennoch gibt es nach wie vor einige Aspekte, die in datenschutzrechtlicher Hinsicht äußerst problematisch sind.
1) Metadaten
Sehr stark kritisiert wird, dass WhatsApp weiterhin die Metadaten der Konversationen sammelt. Diese zeigen zwar nicht den Inhalt der Gespräche an. Bei den Metadaten handelt es sich jedoch etwa um Informationen, wer mit wem wann, wie lange und wie oft kommuniziert.
Diese Daten werden bei jeder Unterhaltung für den User unbemerkt mit übertragen. Die Informationen werden auf den Servern des Unternehmens unverschlüsselt gespeichert und es entstehen bereits gewisse Nutzerprofile.
Dieses Problem betrifft allerdings nicht zwangsläufig WhatsApp, sondern gilt für alle Messenger- Apps.
Eine Auswertung dieser Metadaten kann, bei entsprechendem Interesse, durchaus weitreichende Aufschlüsse geben. Erst in einem zweiten Schritt und im Verdachtsfall ist der entsprechende Inhalt von Belang. Daher überrascht es nicht, dass Kritiker hierin immer noch ein riesengroßes Problem sehen.
Mitumfassend zu diesem Problem gehört auch, dass für den Abgleich immer noch die Adressbücher der Nutzer gespeichert werden.
Da dies in der Regel automatisch und daher ohne Wissen oder Zustimmung der dort eingetragenen Nutzer passiert, ist das nach deutschem Datenschutzrecht äußerst problematisch.
Unternehmen, welche den Messenger oder bereits nur das private Smartphone inklusive der App zu beruflichen Zwecken nutzen, sollten hierbei sehr vorsichtig sein. Denn in diesem Fall greift das Bundesdatenschutzgesetz und man könnte u.U. belangt werden.
Dieser Vorgang ist auch vergleichbar mit der „Freunde finden“ Funktion bei Facebook. Bei dieser wurde Anfang des Jahres vom Bundesgerichtshof entschieden, dass sie gegen den Datenschutz verstößt und eine wettbewerbsrechtlich unzulässige belästigende Werbung darstellt.
WhatsApp liest die Nummern der Kontakte auf dem Telefon ab und fügt sie automatisch zur WhatsApp-Kontaktliste hinzu. Hierzu erteilt zwar der WhatsApp User seine Erlaubnis, nicht jedoch der entsprechend hinzugefügte Kontakt. Zudem müssen der App bei der Installation weitrechende Rechte auf dem Smartphone erteilt werden. Ob dies rechtlich legal sein kann, wurde bislang höchstrichterlich noch nicht geklärt.
Eine Alternative stellen jedenfalls Messenger dar, die nicht auf Telefonnummern angewiesen sind, sondern allein durch Nutzernamen kommunizieren, ohne die Kontaktdaten preisgeben zu müssen (Bsp.: die Messenger Threema oder Skype).
2) Keine Open-Source-Software
Anders als der bereits genannte Signal Messenger ist WhatsApp keine Open-Source-Software. Das bedeutet, dass nicht jeder den Code einsehen und darin z.B. nach Hintertüren oder Kryptographie-
Fehlern suchen kann. Daraus folgt, dass man darauf „blind“ vertrauen muss, dass WhatsApp die Verschlüsselung korrekt und ohne Ausnahmen anwendet bzw. dass es keine Sicherheitslücken gibt, über die sie ausgehebelt werden könnte.
3) Nahtlose Verschlüsselung nur mit der neuesten Version
Die Ende-zu-Ende-Verschlüsselung funktioniert WhatsApp zufolge immer nur dann, wenn die an einer Kommunikation beteiligten User die neueste Version der App verwenden.
Wenn ein Nutzer noch eine veraltete und damit nicht verschlüsselte Version einsetzt, läuft die Kommunikation auch entsprechend unverschlüsselt ab.
Die Verschlüsselungsfunktion ist dabei automatisch aktiv, wenn der Chat-Partner die neueste Version der App nutzt. In diesem Fall zeigt ein Schloss-Symbol an, dass der Chat verschlüsselt ist. Ist das Schloss also nicht zu sehen, fehlt die Verschlüsselung. In einem Gruppenchat reicht bereits eine Person, die noch eine alte App-Version nutzt, um alle Inhalte unverschlüsselt zu verschicken, da andernfalls diese Person den Inhalt nicht mitlesen könnte.
„Schutz der Privatsphäre und Sicherheit sind in unseren Genen.“, wirbt das Unternehmen auf seiner Homepage für die neue Änderung hinsichtlich der Verschlüsselung.
Seit der Übernahme durch Facebook im Jahr 2014, erfolgte ein noch rasanterer Anstieg der WhatsApp Nutzer und verzeichnet in diesem Jahr eine immense Nutzeranzahl im Milliardenbereich.
Ob dem Unternehmen nun in erster Linie wirklich die Privatsphäre seiner Nutzer am Herzen liegt, ist in Anbetracht der vergangenen Jahre und unzähligen datenschutzrechtlichen Problemen mehr als fragwürdig.
Aus rechtlicher und politischer Sicht stieg jedenfalls in den letzten Jahren der Druck enorm für Unternehmen wie WhatsApp, eine weitreichende Änderung vorzunehmen.
Eine nahtlose Ende-zu-Ende-Verschlüsselung rückte vor allem wegen der Übermittlung der gespeicherten Daten auf Servern in den USA immer mehr in den Vordergrund.
Diese hitzige Debatte mit den USA erfuhr spätestens dann eine einschneidende Wende, als der EuGH im Oktober 2015 das Safe-Harbor-Abkommen für ungültig erklärte. Der Gerichtshof stellte fest, dass US-Behörden Daten aus Europa in einer Weise verarbeiten konnten, die mit den Zielsetzungen ihrer Übermittlung unvereinbar war und über das hinausging, was zum Schutze der nationalen Sicherheit absolut notwendig und verhältnismäßig gewesen wäre.
Als Safe-Harbor-Nachfolger soll nun der sog. transatlantische „Privacy Shield“ in Kraft treten.
Die EU-Kommission hat den Entwurf hierzu herausgegeben und eine endgültige Annahme der Vereinbarung soll plangemäß im Juni erfolgen.
Nach dem neuen Abkommen sollen Unternehmen in den USA strengeren Auflagen zum Schutz der personenbezogenen Daten europäischer Bürger unterliegen. Voraussetzung dafür ist jedoch, dass sie selbst versprechen, sich an die rechtlichen Vorgaben zu halten. Verbessert werden sollen mit dem Datenschutzschild unter anderem die staatlichen Kontrollen und die Beschwerdemöglichkeiten der betroffenen Bürger.
Eine Verbesserung könnte also in Sicht sein, jedoch sehen manche EU-Abgeordneten, Datenschützer und Anwälte für IT-Recht die neue Regelung weiterhin durchaus kritisch.
Diese datenschutzrechtlich unsichere Ausgangslage vertiefte sich dann im Zuge des zwischen den US- Ermittlungsbehörden und Apple entfachten Streits. Apple sollte auf gerichtliche Anordnung eines Bundesbezirksgerichts eine spezielle iOS-Version bereitstellen, die bei der Entschlüsselung eines iPhones helfen sollte. Hierbei kam es letztlich zu keiner gerichtlichen Entscheidung, da die Ermittlungsbehörde schlussendlich einen Weg fand, das iPhone zu entschlüsseln.
Aus diesem Streit zogen die Unternehmer von WhatsApp vermutlich ihre eigene Konsequenz. Eine Verschlüsselung einmal auszuhebeln, würde weniger Sicherheit für alle bedeuten, plädierte Apple in ihrem Rechtsstreit gegen die US-Behörden.
Gleichzeitig gibt es in erster Linie aber auch den Unternehmen mehr Sicherheit – die Gefahr des Verlustes an Seriosität gegenüber den Nutzern sowie die Befürchtung in ihrem unternehmerisch autonomen Handeln stark durch staatliche Kontrolle eingeschränkt zu sein, spielt da sicherlich eine große Rolle.
Im März 2016 stand dann WhatsApp in der Pflicht, benötigte Informationen herauszugeben. In einem Ermittlungsfall waren von einem US-Richter angeordnete Überwachungsmaßnahmen an der WhatsApp-Verschlüsselung gescheitert. Das Unternehmen argumentierte letztlich damit, dass es keine Informationen liefern kann, die es selbst nicht hat. Bei Einsatz des Verschlüsselungssystems ist WhatsApp nicht mehr in der Lage, die Inhalte an die Sicherheitsbehörden weiterzugeben.
Wie bereits gezeigt, gibt es dann jedoch immer noch das Problem der Metadaten, welche unverschlüsselt vorliegen.
Diese Entwicklungen lassen stark vermuten, dass weitere gerichtliche Verfahren in naher Zukunft folgen werden. Dabei bleibt abzuwarten, ob rechtliche Folgen, insbesondere in Form einer gesetzlichen Umwälzung, zu erwarten sind.
Als Fazit bleibt festzustellen, dass die Verschlüsselung theoretisch zwar einen Schritt in die richtige Richtung darstellen könnte, datenschutzrechtlich bei der praktischen Umsetzung jedoch ein nicht unwesentlich negativer Beigeschmack bleibt.
Letztlich wird einem das Gefühl vermittelt, dass eine hundert prozentige digitale Privatsphäre bei den vielen, u.a. unternehmerischen und politischen Interessen, die hierbei eine immer größere Rolle spielen, kaum zu bewerkstelligen ist.
Es ist jedoch sehr wahrscheinlich, dass, basierend auf dieser rechtlichen Ausgangsposition, weitere Veränderungen folgen werden. Als Beispiel sei die seit Ende Januar diesen Jahres kostenlose Nutzung der App genannt. Anstelle dessen möchte WhatsApp zukünftig Unternehmen die Möglichkeit bieten, direkt mit Kunden in Kontakt zu treten (B2C). Ob dieses Geschäftsmodell tatsächlich in die Tat umgesetzt wird oder WhatsApp anderweitig finanziert wird, bleibt abzuwarten.
Ein Zeichen dafür, dass man sich nie ganz sicher sein kann, was als nächstes in der digitalen Welt geschieht und man ein waches Auge haben sollte, setzt es allemal.
Quellen: