Verstößt Whatsapp gegen die DSGVO?

Wer diesen Blog liest, weiß um meinen persönlichen, wenn auch nicht unbegründeten Kampf gegen Whatsapp. Weil es massenweise Handynummern abgreift, weil es chronisch unsicher ist  – und weil der Dienst Daten erhebt, ohne klar zu machen, wofür.

Ausschnitte Whatsapp Datenschutzhinweise und AGB

WHATSAPP DATENSCHUTZRICHTLINIE, online am 10. Juni 2018 (Ausschnitt):

Wir erfassen Informationen über deine Aktivität auf unseren Diensten. Dazu zählen dienstspezifische Informationen sowie Informationen für Diagnosezwecke und Performance-Informationen. Dies umfasst auch Informationen über deine Aktivität (beispielsweise wie du unsere Dienste nutzt, deine Einstellungen für Dienste, wie du mit anderen unter Nutzung unserer Dienste interagierst sowie Zeitpunkt, Häufigkeit und Dauer deiner Aktivitäten und Interaktionen), Log-Dateien sowie Diagnose-, Absturz-, Webseiten- und Performance-Logs und ‑Berichte. Dies umfasst auch Informationen darüber, wann du dich für die Nutzung unserer Dienste registriert hast, Informationen über die von dir genutzten Funktionen wie unsere Nachrichten-, Anrufe-, Status- oder Gruppen-Funktionen, über dein Profilbild, über deine Info, dazu ob du gerade online bist, wann du zuletzt unsere Dienste genutzt hast (dein „zuletzt online“) und wann du zuletzt deine Info aktualisiert hast.

WHATSAPP AGB (TERMS OF SERVICE), online am 10. Juni 2018 (Ausschnitt):

Die Datenschutzrichtlinie legt die Rechtsgrundlagen für unsere Verarbeitung von personenbezogenen Informationen über dich dar, darunter auch das Erfassen, Verwenden, Verarbeiten und Teilen solcher Informationen sowie die Übertragung und Verarbeitung solcher Informationen in die/den USA und andere/n Länder/n weltweit, wo wir Einrichtungen, Dienstleister, verbundene Unternehmen oder Partner haben bzw. einsetzen, und zwar unabhängig davon, wo du unsere Dienste nutzt.

Gefährlicherweise geschieht die Datenerhebung unter dem Radar der Nutzer – denn über Whatsapp werden persönliche Gespräche geführt. Bei Facebook beispielsweise dürfte die Datensammlung den meisten Nutzern die Datensammlung mittlerweile bewusst sein, zudem ist die Monetarisierung der Informationen kein Geheimnis. Bei einem Medium wie Whatsapp, das in der Regel in der Eins-zu-Eins-Kommunikation eingesetzt wird, gerät die Datensammlung jedoch leicht in Vergessenheit. Wenn der Dienst dann noch kostenfrei und werbefrei ist, ist die Frage, welche Daten genau gesammelt und wie sie (vom Mutterkonzern Facebook?) verwertet werden, berechtigt.

Die EU-DSGVO und Whatsapp

Hier bin ich der EU-Datenschutzgrundverordnung dankbar. Als betrieblicher Datenschutzbeauftragter einer Bildungseinrichtung glaube ich, die am 25. Mai 2018 in Kraft getretene Verordnung ganz gut zu kennen. Sie nimmt die Daten verarbeitenden Unternehmen beispielsweise in die Pflicht, Daten nur für die festgelegte Zwecke zu verwenden (Art. 5). Zudem gesteht die DSGVO den Verbrauchern ein Auskunftsrecht (Art. 15) und eine Einwilligungspflicht in die Datenverarbeitung (Art. 6) zu. Zudem haben sie Möglichkeit, persönliche Daten zu exportieren (Art. 20).

Um der Verordnung Rechnung zu tragen, hat Whatsapp der App eine Funktion hinzugefügt, in dem sich Nutzer ihre persönlichen Daten zuschicken lassen können. Von der Hoffnung getrieben, endlich konkrete Infos über die Datensammlung und -verwendung zu erhalten, habe ich Whatsapp trotz meiner grundsätzliche Ablehnung installiert, ein paar Nachrichten verschickt und dann diesen Bericht angefordert. Das Ergebnis ist dürftig. In dem Bericht stehen Infos zu meinem Onlinestatus, zu meinem Smartphone und – mein Hauptgrund, die App zu meiden – alle Telefonnummern meines Smartphones. Wenn ich schon gegen meine Prinzipien verstoße, hätte ich mir mehr gewünscht.
(Download DSGVO-Bericht_geschwärzt)

Was fehlt, sind Infos über

  • die Metadaten, also, wann ich mit wem von wo aus Kontakt habe. Das sind letztlich die Daten, die Whatsapp irgendwie monetarisiert. Dass Metadaten personenbezogene Daten sind, sehen viele deutsche Juristen und etliche Politiker so;
  • den Zweck und die Verantwortlichen der Datenverarbeitung – also welche „Partner“ des Unternehmens was genau damit machen.

Nothing’s up bei Whatsapp

Am 19. Mai hatte ich Whatsapp über die Support-Mailadresse um diese Informationen gebeten und mich auf die DSGVO gestützt. Als Deadline hatte ich den 1. Juni gesetzt.

Email an Whatsapp

Sehr geehrte Damen und Herren,

Ich habe über die Android-App einen Bericht meiner Account-Informationen angefordert und diesen auch erhalten. Grundsätzlich begrüße ich diese neue Funktion sehr. Leider findet sich darin aber nur ein Bruchteil der persönlichen Daten, die Sie laut Ihren Geschäftsbedingenen erheben und die Sie mir laut Art. 20 EU-DSGVO zwecks Datenportierung zur Verfügung [Anm.: Flüchtigkeitsfehler aus Originalmail korrigiert] stellen müssen. Beispielsweise sind die Verbindungsdaten meiner Chats, also u. a. wann ich von wo aus mit wem Kontakt hatte, nicht in dem zugesandten Datensatz erhalten.
Ebenso gibt mir die Datenschutzgrundverordnung das Recht zu erfahren, zu welchem Zweck Sie diese Daten konkret gesammelt und wie sie verarbeitet wurden (vgl. Art. 5 und 6).
Bitte senden Sie mir diese Informationen bis zum 1. Juni 2018 zu. Diese Email sowie die Ergebnisse meines Ersuchens werde ich auf meinem Blog www.spaehgypten.de veröffentlichen.

Es grüßt Sie
Michael Brendel

Was folgte, war ernüchternd. Nach einer Standardantwort, die auf die FAQ verwies, habe ich am 21. Mai mein Anliegen bekräftigt (per Mail an eine offenbar dem Fall zugeordneten individuelle Supportadresse) und am 3. Juni erneut eine Mail geschickt, in dem ich den 6. Juni als spätesten Termin für die Antwort festgesetzt habe.

Doch: Whatsapp meldete sich nicht.
Seit drei Wochen keine menschliche Reaktion.

Das Unternehmen verstößt damit nicht nur gegen die Spielregeln einer guten Kundenbeziehung. Weil es mir die Auskunft über meine personenbezogenen Daten und deren Verarbeitung verweigert, verstößt es aus meiner Sicht auch gegen die EU-Datenschutzgrundverordnung.
Ich habe deshalb heute die niedersächsische Datenschutzbeauftragte um Vertretung meiner Verbraucherinteressen gebeten. Ich werde berichten, wie sie die Lage einschätzt.

Terrorabwehr braucht keine Massenüberwachung

In der Terrorabwehr läuft vieles falsch. Die Massenüberwachung z. B. Quelle: ARD/Arte

Braucht Terrorabwehr Massenüberwachung? Der Film „Terrorjagd im Netz„, der heute auf ARTE lief und in dessen Mediathek zu sehen ist, sagt: Nein.

In der sehenswerten Dokumentation wird beispielsweise eine private Initiative vorgestellt, die anhand öffentlich zugänglicher Informationen Terrorverdächtige ermitteln kann – indem Kommunikationswege analysiert und dargestellt werden, und das heißt auch: ohne, dass die Privatsphäre der Betroffenen verletzt wird. Eine These des Films: Wäre das von drei Zivilisten entwickelte Computersystem in behördlichem Einsatz gewesen, wäre der Terroranschlag vom 19.12.2016 in Berlin verhindert worden.

Das System weist viele Parallelen zu einem NSA-Tool auf, das Ende der 1990erjahre entwickelt wurde. Auch „Thinthread“ verfolgte nicht die Auswertung massenhafter gesammelter Daten, sondern die Analyse von Kommunikationsverhalten. Es wurde drei Wochen vor dem 9.11.2011 zugunsten eines größeren Projekts abgeschaltet – obwohl, wie ein späterer Test bestätigte, die Attentäter von 9/11 als solche hätten identifiziert werden können.

Die dritte steile, aber von verschiedenen Gesprächspartnern untermauerte These, nennt den Grund für die Liebe der Geheimdienste zur Massenüberwachung: Geld. Denn besonders in den USA liegen Überwachungstechniken in der Hand kommerziell operierender Unternehmen, in denen ehemalige NSA-Bediensteten beschäftigt sind. (Der Whisteblower Edward Snowden war ja bei solch einem privaten Sicherheitsdienstleiter beschäftigt).

Massenüberwachung hat noch keinen einzigen Terroranschlag verhindert. Ja, viele Mitarbeiter der Geheimdienste beschweren sich über diesen höchste ineffizienten Ansatz, der dazu führt, dass die Dienste die Auswertung von Daten erst ein Jahr nach Erhebung abgeschlossen haben.
Andere Systeme, die viel schneller Gefahren erkennen und bereits im Besitz der NSA waren, hätten Anschläge verhindern können. Und es gibt Systeme, die es heute können, ohne dabei die Privatsphäre zu verletzen.
Aber Massenüberwachung ist ein Riesengeschäft. Ist das ein Zufall?
Ich empfehle sehr „Terrorjagd im Netz“ anzusehen.

BND Brother is watching us

Eheml. Abhöranlage der US-Armee, Teufelsberg, Berlin. Diesel74656 / devianart

Eheml. Abhöranlage der US-Armee, Teufelsberg, Berlin. Diesel74656 / devianart

Der deutsche Auslandsgeheimdienst BND steckt ganz tief drin im NSA-Skandal. Das belegt ein geheimer Prüfbericht der Bundesdatenschutzbeauftragten Andrea Voßhoff, der von netzpolitik.org veröffentlicht wurde. Das Bundeskanzleramt als Dienstherr des BND hat die Praktiken über Jahre hinweg nicht wahrgenommen, ignoriert oder sogar gedeckt – die vielfachen Rechtsbrüche aber auf jeden Fall nicht gestoppt. Im Gegenteil: Das neue BND-Gesetz, das noch dieses Jahr verabschiedet werden soll, legalisiert das BND-Vorgehen und weitet seine Befugnisse noch aus. Wohlgemerkt: Eine Behörde, die mehrfach Rechtsbruch begangen hat (das Wort benutzen sowohl die Beauftragte als auch ein Landesrichter in einer Reaktion) und das „Grundrecht von unendlich vielen Bürgern verletzt hat“ (H.-C. Ströbele, Grüne), bekommt erweiterte Befugnisse, ohne dass vorher alle Vorwürfe ausgeräumt wurden. Folgende BND-Aktionen sind für uns Bürger aus meiner Sicht besonders bedeutsam:

  • die intensive Metadatensammlung, auch von unverdächtigen Personen (auf eine verdächtige Person kommen 15 unverdächtige). Zitat aus dem Prüfbericht:

Indem der BND sämtliche Metadaten aller Kommunikationsverkehre auf einer Kommunikationsstrecke ausleitet und nach Durchlaufen der DAFIS-Filterung in VERAS 6 erfasst, speichert und nutzt der BND unstreitig auch Metadaten von Kommunikationsverkehren unbescholtener Personen, die für seine Aufgabenerfüllung nicht erforderlich sind.

  • die Nutzung des NSA-Durchsuchungs-Tools Xkeyscore direkt an Internetknoten. Laut dem Prüfbericht durchsucht der BND mit dem Tool

[…] weltweit den gesamten Internetverkehr (IP-Verkehr), d. h. alle im IP-Verkehr enthaltenen Meta- und Inhaltsdaten und speichert die getroffenen IP-Verkehre (E-Mails, Chats, Inhalte öffentlicher sozialer Netzwerke und Medien sowie nicht öffentlicher, d. h. für den allgemeinen Nutzer nicht sichtbarer, Nachrichten in Webforen etc.) und damit alle in diesen IP-Verkehren auftauchenden Personen (Absender, Empfänger, Forenteilnehmer, Teilnehmer der sozialen Netzwerke etc.).

  • die unkritische Vewendung, Speicherung und Verarbeitung von Selektoren (Suchmustern) der NSA. Jeder Verwendung müsste eine Tauglichkeitsprüfung vorhergehen, was bei 14 Mio. Begriffen natürlich unmöglich ist. Stattdessen ungefilterte Weitergabe der Ergebnisse an die NSA.
  • die ungenaue Aussiebung deutscher Nutzer aus den Ergebnissen (die der BND qua Auftrag nicht überwachen darf);
  • die Nutzung von Datenbanken („Dateianordnungen“) offenbar ohne (?) Erlaubnis des Bundeskanzleramtes;
  • die weitgehende Behinderung der Kontrolle der Bundesdatenschutzbeauftragten.

Wenn die NSA der Big Brother ist, dann ist der BND der kleine Bruder – oder besser: ein Halbwüchsiger, der unbedingt Gangmitglied sein will, aus Geltungssucht und Arroganz Gesetze übertritt und die Folgen seines Tuns nicht überblickt.
Dabei sind die laut Landesrichter Ulf Burmeyer gravierend:

Wenn der BND diese Grenzen nicht einhält, dann höhlt er den Rechtsstaat des Grundgesetzes aus, den er doch eigentlich schützen soll.

Was können wir tun?

Nicht die Nerven verlieren. Wir sind das Volk. Wir haben solange Macht über unsere Daten, bis wir sie ins Netz setzen. Wir können bestimmen, welche Worte wir in die Telefonleitungen sprechen, welchen Post wir auf Facebook setzen, welchen Email- und Kurznachrichtendienst wir nutzen und ob uns Verschlüsselung zu kompliziert ist oder nicht. Die Grundsätze Datenschutz (Passwörter! Verschlüsselung!) Datensparsamkeit (Tu nur das Nötigste im Netz!) und Datenhygiene (Trau nicht nur einem Anbieter! Lösche nicht verwendete Konten!) sind nun wichtiger denn je. Und vor allem: Löscht dieses verdammte Whatsapp! Die neuen AGB belegen, dass die Daten unbescholtener Bürger (unserer Telefonbucheinträge!) durch die Whatsappnutzer selbst ins Netz gegeben werden, was in diesem Falle allen drei o. g. Grundsätzen widerspricht und willkommenes Futter für die NSA und ihre Gehemdienstbuddies sind.

Was muss die Politik tun?

Ich hoffe, dass uns die Politik nicht im Stich lässt. Der Prüfbericht enthält soviel Sprengstoff, dass er für einen dicken Ruck durch Regierung, Ministerien und Bundestag ausreicht. Konkret hoffe ich,

  • dass die Bundesdatenschutzbeauftragte und der NSA-Untersuchungsausschuss die Rechtsbrüche durch den BND als solche benennen und sie dem Parlament und uns Bürgern erklären;
  • dass es politischer Konsens wird, dass unser Auslandsgeheimdienst transparenter agieren muss;
  • dass das BND-Gesetz daraufhin verändert wird;
  • dass die Zusammenarbeit von NSA und BND geklärt und auf das politisch kontrollierbare Mindestmaß reduziert wird;
  • dass die Parteien die Wahrung des Grundrechts auf informationelle Selbstbestimmung zum Thema der Bundestagswahl 2017 machen.

Es bedarf ferner einer breiten gesellschaftlichen Diskussion über das Verhältnis von Freiheitsrechten einzelner und dem Schutz der Allgemeinheit. Als Impuls ist dafür freilich ist ein gewisses Maß an Empörung notwendig, die ich bislang aber leider nicht erkennen kann. Die Einstellung „Ich habe doch nichts zu verbergen“ ist wohl noch zu weit verbreitet, obwohl sie kurzsichtig und gefährlich ist. Bei der Frage, wie unsere Behörden mit unseren Daten umgehen, geht es ums Ganze: um unsere Freiheit und die Zukunft unserer Gesellschaft. Empören wir uns!