Verstößt Whatsapp gegen die DSGVO?

Wer diesen Blog liest, weiß um meinen persönlichen, wenn auch nicht unbegründeten Kampf gegen Whatsapp. Weil es massenweise Handynummern abgreift, weil es chronisch unsicher ist  – und weil der Dienst Daten erhebt, ohne klar zu machen, wofür.

Ausschnitte Whatsapp Datenschutzhinweise und AGB

WHATSAPP DATENSCHUTZRICHTLINIE, online am 10. Juni 2018 (Ausschnitt):

Wir erfassen Informationen über deine Aktivität auf unseren Diensten. Dazu zählen dienstspezifische Informationen sowie Informationen für Diagnosezwecke und Performance-Informationen. Dies umfasst auch Informationen über deine Aktivität (beispielsweise wie du unsere Dienste nutzt, deine Einstellungen für Dienste, wie du mit anderen unter Nutzung unserer Dienste interagierst sowie Zeitpunkt, Häufigkeit und Dauer deiner Aktivitäten und Interaktionen), Log-Dateien sowie Diagnose-, Absturz-, Webseiten- und Performance-Logs und ‑Berichte. Dies umfasst auch Informationen darüber, wann du dich für die Nutzung unserer Dienste registriert hast, Informationen über die von dir genutzten Funktionen wie unsere Nachrichten-, Anrufe-, Status- oder Gruppen-Funktionen, über dein Profilbild, über deine Info, dazu ob du gerade online bist, wann du zuletzt unsere Dienste genutzt hast (dein „zuletzt online“) und wann du zuletzt deine Info aktualisiert hast.

WHATSAPP AGB (TERMS OF SERVICE), online am 10. Juni 2018 (Ausschnitt):

Die Datenschutzrichtlinie legt die Rechtsgrundlagen für unsere Verarbeitung von personenbezogenen Informationen über dich dar, darunter auch das Erfassen, Verwenden, Verarbeiten und Teilen solcher Informationen sowie die Übertragung und Verarbeitung solcher Informationen in die/den USA und andere/n Länder/n weltweit, wo wir Einrichtungen, Dienstleister, verbundene Unternehmen oder Partner haben bzw. einsetzen, und zwar unabhängig davon, wo du unsere Dienste nutzt.

Gefährlicherweise geschieht die Datenerhebung unter dem Radar der Nutzer – denn über Whatsapp werden persönliche Gespräche geführt. Bei Facebook beispielsweise dürfte die Datensammlung den meisten Nutzern die Datensammlung mittlerweile bewusst sein, zudem ist die Monetarisierung der Informationen kein Geheimnis. Bei einem Medium wie Whatsapp, das in der Regel in der Eins-zu-Eins-Kommunikation eingesetzt wird, gerät die Datensammlung jedoch leicht in Vergessenheit. Wenn der Dienst dann noch kostenfrei und werbefrei ist, ist die Frage, welche Daten genau gesammelt und wie sie (vom Mutterkonzern Facebook?) verwertet werden, berechtigt.

Die EU-DSGVO und Whatsapp

Hier bin ich der EU-Datenschutzgrundverordnung dankbar. Als betrieblicher Datenschutzbeauftragter einer Bildungseinrichtung glaube ich, die am 25. Mai 2018 in Kraft getretene Verordnung ganz gut zu kennen. Sie nimmt die Daten verarbeitenden Unternehmen beispielsweise in die Pflicht, Daten nur für die festgelegte Zwecke zu verwenden (Art. 5). Zudem gesteht die DSGVO den Verbrauchern ein Auskunftsrecht (Art. 15) und eine Einwilligungspflicht in die Datenverarbeitung (Art. 6) zu. Zudem haben sie Möglichkeit, persönliche Daten zu exportieren (Art. 20).

Um der Verordnung Rechnung zu tragen, hat Whatsapp der App eine Funktion hinzugefügt, in dem sich Nutzer ihre persönlichen Daten zuschicken lassen können. Von der Hoffnung getrieben, endlich konkrete Infos über die Datensammlung und -verwendung zu erhalten, habe ich Whatsapp trotz meiner grundsätzliche Ablehnung installiert, ein paar Nachrichten verschickt und dann diesen Bericht angefordert. Das Ergebnis ist dürftig. In dem Bericht stehen Infos zu meinem Onlinestatus, zu meinem Smartphone und – mein Hauptgrund, die App zu meiden – alle Telefonnummern meines Smartphones. Wenn ich schon gegen meine Prinzipien verstoße, hätte ich mir mehr gewünscht.
(Download DSGVO-Bericht_geschwärzt)

Was fehlt, sind Infos über

  • die Metadaten, also, wann ich mit wem von wo aus Kontakt habe. Das sind letztlich die Daten, die Whatsapp irgendwie monetarisiert. Dass Metadaten personenbezogene Daten sind, sehen viele deutsche Juristen und etliche Politiker so;
  • den Zweck und die Verantwortlichen der Datenverarbeitung – also welche „Partner“ des Unternehmens was genau damit machen.

Nothing’s up bei Whatsapp

Am 19. Mai hatte ich Whatsapp über die Support-Mailadresse um diese Informationen gebeten und mich auf die DSGVO gestützt. Als Deadline hatte ich den 1. Juni gesetzt.

Email an Whatsapp

Sehr geehrte Damen und Herren,

Ich habe über die Android-App einen Bericht meiner Account-Informationen angefordert und diesen auch erhalten. Grundsätzlich begrüße ich diese neue Funktion sehr. Leider findet sich darin aber nur ein Bruchteil der persönlichen Daten, die Sie laut Ihren Geschäftsbedingenen erheben und die Sie mir laut Art. 20 EU-DSGVO zwecks Datenportierung zur Verfügung [Anm.: Flüchtigkeitsfehler aus Originalmail korrigiert] stellen müssen. Beispielsweise sind die Verbindungsdaten meiner Chats, also u. a. wann ich von wo aus mit wem Kontakt hatte, nicht in dem zugesandten Datensatz erhalten.
Ebenso gibt mir die Datenschutzgrundverordnung das Recht zu erfahren, zu welchem Zweck Sie diese Daten konkret gesammelt und wie sie verarbeitet wurden (vgl. Art. 5 und 6).
Bitte senden Sie mir diese Informationen bis zum 1. Juni 2018 zu. Diese Email sowie die Ergebnisse meines Ersuchens werde ich auf meinem Blog www.spaehgypten.de veröffentlichen.

Es grüßt Sie
Michael Brendel

Was folgte, war ernüchternd. Nach einer Standardantwort, die auf die FAQ verwies, habe ich am 21. Mai mein Anliegen bekräftigt (per Mail an eine offenbar dem Fall zugeordneten individuelle Supportadresse) und am 3. Juni erneut eine Mail geschickt, in dem ich den 6. Juni als spätesten Termin für die Antwort festgesetzt habe.

Doch: Whatsapp meldete sich nicht.
Seit drei Wochen keine menschliche Reaktion.

Das Unternehmen verstößt damit nicht nur gegen die Spielregeln einer guten Kundenbeziehung. Weil es mir die Auskunft über meine personenbezogenen Daten und deren Verarbeitung verweigert, verstößt es aus meiner Sicht auch gegen die EU-Datenschutzgrundverordnung.
Ich habe deshalb heute die niedersächsische Datenschutzbeauftragte um Vertretung meiner Verbraucherinteressen gebeten. Ich werde berichten, wie sie die Lage einschätzt.

[Update 5.8.2018:

Ich habe Post von der Landesbeauftragten für Datenschutz bekommen. Sie hat meinen Fall an die Bundesbeauftragte Andrea Voßhoff weitergeleitet, weil der Dienst Whatsapp dem Telekommunikationsgesetz (TKG) unterliegt. Ich bin gespannt, wann ich von ihr höre.]

Wo .COM dransteht, ist kein Deutschland drin, oder, BND?

Stefan Funke, CC BY-SA 2.0 (https://creativecommons.org/licenses/by-sa/2.0)

Das Bundesverwaltungsgericht hält das Abgreifen von Mails nichtdeutscher Personen beim größten Internet-Knoten der Welt, dem DE-CIX in Frankfurt, durch den BND für legitim. Der BND kopiert dabei den gesamten durchgeleiteten Internetverkehrbis zu 6 Terabit pro Sekunde (bis zu 750 Gigabyte!). Der Deutsche Welle-Redakteur Marcel Fürstenau macht in seinem Kommentar auf die Absurdität aufmerksam, die Nationalität eines E-Mail-Absenders an ebendieser erkennen zu wollen.

Dass sich gelegentlich auch Ihre oder meine Daten unter angezapften Leitungen befinden, ist schon aus statistischen Gründen sehr wahrscheinlich. Schließlich saugen Geheimdienste permanent Millionen von Kommunikationsverbindungen ab. Sie tun das mit konkreten Suchbegriffen, sogenannten Selektoren. Dabei sollen und dürfen aber nur Ausländer überwacht werden. Das aber lässt sich beim besten Willen nun einmal nicht gewährleisten. Niemand weiß im Zweifelsfall, wer sich hinter einem Mail-Account wie „@gmail.com“ verbirgt. Auch der Deutsche Welle-Account endet mit „com“. Kurzum: Wer behauptet, die Staatsangehörigkeit eines Mail-Absenders oder am Telefon Englisch sprechenden Menschen zweifelsfrei zu kennen, macht sich lächerlich.

Die Betreiber des DE-Cix wollen nun nach Karlsruhe ziehen.
Und ich frage mich, ob mein Auskunftsrecht im Rahmen der EU-DSGVO nicht auch für den Geheimdienst gilt. Ich mache mich mal schlau.

Die Macht der Psychometrie

Wie das Magazin „New Scientist“ berichtet, waren persönliche Daten von 3 Mio. Facebook-Nutzern eine lange Zeit im Internet frei zugänglich. Wie beim (etwas dramatisierten) Cambridge-Analytica-Fall war wieder eine Facebook-App verantwortlich für das Datenleck.
Dieser unterhaltsame Kurzfilm erklärt die Hintergründe des „Mypersonality“-Quiz‘ und die hinterfragt die Macht der Psychometrie.