Jetzt gehst du zu weit, Whatsapp!

[Update 6.9.2018: Die Facebookseite “Netzunrecht” existiert nicht mehr. Ich habe den Link entfernt.]

whatsapMit seinen neuen AGB geht Whatsapp eindeutig zu weit: Die neu eingeführte Verknüpfung von Whatsapp mit Facebook ist verschiedenen Quellen zufolge nicht bei allen Kunden abstellbar, vor allem aber machen die neuen Geschäftsbedingungen die Whatsapp-Nutzung eigentlich unmöglich!

Die Juristen von Netzunrecht sagen es in einem Facebookpost klipp und klar:

Denn diesen neuen Datenschutzbestimmungen kann man eigentlich nicht zustimmen. Wer ist schon autorisiert Telefonnummern aus dem eigenen Adressbuch an WhatsApp weiter zu geben?!

Zitat aus den Nutzungsbedingungen:
“Adressbuch. Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können.”

Die Zwickmühle, in der Whatsapp-Nutzer/innen stecken, ist dieselbe, die sie auch Facebook und Google-AGB-Änderungen kennen: Sie lautet “Friss oder stirb”. Wer die neuen Whatsapp-AGB nicht mag, darf den Dienst halt nicht nutzen. Und, um die Aussage der Anwälte noch einmal zuzuspitzen: Wer nicht von allen seinen Adressbuchkontaktem ein Okay für die Weitergabe ihrer Telefonnummer an Whatsapp erhalten hat, auch nicht!

Die Verbraucherseite “Zuerst denken, dann klicken” empfiehlt einen schriftlichen Widerspruch gegen die neuen AGB. Nein, das geht natürlich nicht, in dem man den Text “Hiermit widerspreche ich den neuen AGB” per Whatsapp irgendwo hinsendet.
Aber eine Mail an support@whatsapp.com wäre gut. Ich werde auch eine schreiben.

Weitere Beiträge zum Thema “Whatsapp”

UPDATE: Mir ist beim Lesen der AGB jetzt erst aufgegangen, dass die weitergegebenen Telefonnummern auch für Werbezwecke genutzt werden, nicht nur die eigene. Das ist wirklich die Höhe!

Update 3 (19.11.): Vor Vorratsdatenspeicherung schützen

Der Bundestag hat gestern die Vorratsdatenspeicherung beschlossen. Diese von der EU verordnete umfassende Speicherung von Metadaten (Telefon- und Internetverbindungen samt Standort) ist in Deutschland lange umstritten, und auch jetzt sind Klagen zu erwarten. Viele Bürger sehen in dieser anlasslosen (nämlich grundsätzlichen) Speicherung von Verbindungsdaten einen Eingriff in ihre Bürgerrechte. Ich habe damit kein solch großes Problem, wie ich bereits schrieb. Dennoch marschiere ich als Kritiker der NSA-Überwachung gerne Seit’ an Seit’ mit anderen, die sich für informationelle Selbstbestimmung aussprechen.
Klar ist: Jedes Metadatum, das in meinen Händen bleibt oder gar nicht entsteht, ist ein gutes Metadatum. Deswegen empfehle ich den Artikel auf netzpolitik.org, der Tipps zur Vermeidung ebendieser gibt. In Stichpunkten:

  • statt SMS lieber Messenger benutzen
  • wenn möglich, am Smartphone Voice over IP-Apps nutzen
  • den Internetverkehr von Smartphone, Tablet und PC über einen VPN-Server leiten

Ein VPN-Dienst leitet den gesamten Internetverkehr zu einem anderen Internetserver, von dem aus dann die gewünschten Internetseiten und Dienste angesteuert werden. Heißt: Für Überwacher ist nur dieser, entfernte, Server als Quelle der Anfrage zu erkennen.
Ich habe gute Erfahrung mit dem Anbieter Hidemyass gemacht, der keine Surfgeschwindigkeit kostet [gelöscht: und – was im Blick auf neugierige natürlich wichtig ist – die Seitenanfragen nicht in meinem Account speichert.] Bzw.: bislang nicht hat. Ob er das im Zuge der Vorratsdatenspeicherung nicht auch muss https://lookup-phone-prefix.ca , habe ich bei ihm, bei netzpolitik und dem Bundesjustizministerium angefragt. Ein Update folgt.

UPDATE:
Gestern hat Hide My Ass in Person von Bojan Dimitrovski, Amtsbezeichnung “Tech Support Maestro”, geantwortet. Er weist darauf hin, dass die VDS noch nicht in Kraft sei, weil viele Internetanbieter noch nicht die Speicherressourcen hätten. Und selbst wenn das der Fall sei, dürfte theoretisch nur ein britisches Gericht bei meinem (deutschen) Internetnabieter die Herausgabe der [anonymen! Was wollen sie damit?] Log-Daten anfordern [weil Hide My Ass ein britisches Unternehmen ist] 615-544-6756 , und das könnten sie nicht [wohl wegen der Grenzen des nationalen Rechtsraums]. Ich bin nicht sicher, ob es nicht doch eine Art Amtshilfe gibt; unplausibel ist sine die Erklärung aber nicht. Leider sagt Herr Dimitrovski nicht, ob sich VPN-Anbieter selbst an der Vorratsdatenspeicherung beteiligen müssen.

UPDATE 2:
Das Justizministerium bestätigt, dass reine VPN-Anbieter von der VDS ausgenommen sind. Per Facebook schreibt die zuständige Redaktion:

Unabhängig von der jeweiligen Einstufung im Einzelfall (und den ansonsten noch angebotenen Diensten), werden REINE Anbieter von VPN-Diensten durch das Gesetz nicht verpflichtet, Verkehrsdaten zu speichern, da es sich dabei weder um Telefondienste noch um Internetzugangsdienste handelt.

UPDATE 3 (19.11.2015)
Ich muss mich korrigieren: Hyde My Ass ist kein sonderlich sicherer VPN-Anbieter. Er speichert sehr wohl meine Original-IP und den VPN-Server, an dem ich angemeldet bin. Und gibt die Daten im Zweifelsfall auch heraus, wenn britische Gerichte das verlangen.
Ein Mitarbeiter schrieb mir:

- a time stamp when you connect and disconnect to our VPN service;
- the amount data transmitted (upload and download) during your session;
- the IP address used by you to connect to our VPN; and
- the IP address of the individual VPN server used by you.

By comparing that data, persons that commit illegal activities can be located.

Just to be clear, we are obliged to respond only to valid UK court orders.

Natürlich können nicht nur Personen, die illegale Aktivitäten vornehmen, lokalisiert werden, sondern jeder. Damit ist die Anonymität dahin und Hide My Ass als Privatsphäreschützer ungeeignet. Im Folgebeitrag werde ich von einer Alternative schreiben.

Zum Jahresende kommt’s dicke.

agsandrew / CC BY-NC-ND 3.0

agsandrew / CC BY-NC-ND 3.0

Eigentlich hatte ich mit dem vorherigen Artikel bereits einen Schlussstrich unter das Jahr 2014 gesetzt. Doch in den vergangenen Tagen kamen Dinge ans Licht, die nicht zwischen Weihnachtsgans und Neujahrskater versanden sollten:

  1. Der Informatiker Karsten Nohl hat belegt, dass Anrufe von ins UMTS-Mobilfunknetz eingebuchten Handies ohne größere Probleme mitgehört oder umgeleitet werden können. UMTS-Smartphones können zudem relativ leicht von Fremden geortet werden. Auf dem Kongress C31C3 des Chaos Computer Club wurde das Thema ebenfalls diskutiert.
  2. SpOn hat NSA-Schulungsunterlagen veröffentlicht, nach denen nahezu alle Verschlüsselungstechniken (laut NSA: eine Bedrohung) geknackt werden können. Die Netzaktivistin Anne Roth fasst die Bemühungen der NSA auf Twitter zusammen:
  3. Alle Skype-Gespräche seit 2011 wurden auf NSA-Servern mitgeschnitten.
  4. NSA und GCHQ haben einen Trojaner entwickelt, der sich bis ins Kanzleramt verbreitet hat.

Vielleicht werde ich in meiner immer wieder betonten Abgeklärtheit unglaubwürdig, aber überrascht hat mich keine der Meldungen der letzten Tage. Zugegeben – bei der Skype-Neuigkeit musste ich schon etwas schlucken; immerhin kennt die NSA den Wortlaut des Skypegesprächs, in dem meine Frau und ich meinen Eltern von unserer zweiten Schwangerschaft erzählten. Kein schöner Gedanke, zumal Skype und Microsoft (das Skype gekauft hat) immer auf die sichere Verschlüsselung hingewiesen haben. Aber das war der NSA wohl egal.

Ich wusste auch nicht, wie leicht die NSA – bzw. strafrechtlich als kriminell geltende Personen und Organisationen – sic Zugang zu Handies verschaffen kann. Bislang dachte ich, mit meinem weitgehend foto-losen Android-Phone, das den installierten Apps dank XPrivacy eine falsche Seriennummer, einen falschen Aufenthaltsort und eine falsche Netzwerkadresse vorgaukelt, sei ich auf der halbwegs sicheren Seite. Flötepiepen.
Dankenswerterweise hat IT-Experte Nohl das (quelloffene, und daher unverdächtige) Programm SnoopSnitch geschrieben, das die Angriffe aus dem so genannten SS7-Netz auf das Smartphone sichtbar macht. Bei mir ist in den vergangenen 36 Stunden kein Angriff registriert worden, die App bewertet meinen Sicherheitsstatus aber auch als relativ hoch. Das liegt vor allem an dem Netz, in dem ich surfe: Die Telekom und Vodafone haben reagiert und es den Ganoven etwas schwerer gemacht, auf fremde Geräte zuzugreifen.

Den von Frau Roth genannten verbleibenden sichereren Verschlüsselungstechniken ist ein Problem gemeinsam: Sie funktionieren nur, wenn Sender und Empfänger auf gleiche Art und Weise verschlüsseln. Bei Emails gibt es immerhin einen Teil-Schutz: Wer den Email-Anbieter mailbox.org nutzt, den ich bereits empfohlen habe und das weiterhin mit gutem Gewissen tun kann, kann alle eingehenden Emails auf dem Server mit seinem PGP-Schlüssel verschlüsseln lassen. So hat die NSA höchstens auf dem Absender-PC oder auf dem Versandweg Zugriff auf die Mails, ab dann aber nicht mehr. Die kommerzielle Auswertung des Emailtextes wie bei Google und Microsoft findet natürlich auch nicht statt.

Und was ist davon zu halten, dass Merkel sich fast einen Trojaner eingefangen hätte (die Schadsoftware wurde zum Glück rechtzeitig erkannt)? Das führt bei ihr hoffentlich zu einem Gefühl der Bedrohung ihrer persönlichen Freiheit, aber auch zu der Erkenntis, dass unsere gesamte Demokratie (und auch der Wirtschaftsstandort!) in Frage steht, wenn Abläufe in der Regierungszentrale von fremden Staaten mitgeschnitten werden. Letztlich wünsche ich mir, dass der Vorgang bei der Kanzlerin und dem Bundeskabinett zu einer größeren Verärgerung über unsere amerikanischen Freunde führt, der endlich auch einmal deutliche Konsequenzen folgen.

Zeit also, das 1:1 zwischen NSA und den Bürgern 615-544-0026 , das ich in meinem vorherigen Blogeintrag als Fazit aus dem Jahr gezogen habe, überdenken? Nein – auch wenn die Abgebrühtheit, mit der die NSA unsere Daten klaut, wirklich verblüffend ist. Ich sehe “unseren Punkt” als Grund zur Hoffnung, dass 2015 noch mehr Menschen aufstehen und ihre Stimme erheben gegen die himmelschreiende Versündigung an Freiheit und Privatsphäre.