Datenschutzbeschwerde: Sind Whatsapp-Metadaten persönliche Daten?

Meine Beschwerde über Facebook wegen der mangelnden Auskunftspflicht über die in Whatsapp erhobenen Daten liegt seit einigen Monaten bei der irischen Datenschutzaufsicht DPC, weil Facebook dort seine Europazentrale hat. Ich hatte den Fall hier bereits geschildert, hier ebenfalls.
Kurz: Ich halte es für unzureichend, dass man beim Datenexport aus Whatsapp (Auskunftsrecht laut DSGVO) keine Metadaten über seine Kommunikation erhält, also z. B. mit wem man wann von welchem Standort aus kommuniziert.

Auf Anordnung der irischen Datenschützer hat Facebook/Whatsapp diesbezüglich nun erstmals direkt mit mir Kontakt aufgenommen (nachdem alle meinen bisherigen Mails an das Unternehmen unbeantwortet blieben). Die Argumentation:

WhatsApp hat RYI [Die Datenexport-Funkion, Anm. d. Autors] entwickelt, um WhatsApp-Benutzern den sicheren Zugriff auf ihre persönlichen Daten zu ermöglichen. Andere Metadaten können in nicht abrufbarer Form in unserem Offline-Data-Warehouse gespeichert werden.
WhatsApp bietet keinen Zugriff auf Informationen, die nicht in den Geltungsbereich der Zugriffsrechte nach GDPR [engl. Bezeichnung für DSGVO, Anm. d. Autors] fallen, keine personenbezogenen Daten darstellen oder anderweitig den geltenden gesetzlichen Ausnahmeregelungen unterliegen, und ist auch nicht dazu verpflichtet.

Aus der Mail von Facebook an mich, 31. Jan. 2020, Übersetzung durch mich.

Heißt: Wir als Facebook/Whatsapp geben im Datenexport alle Daten aus, die wir laut DSGVO ausgeben müssen.
Ich sehe das nach wie vor anders, was ich Facebook bereits mitgeteilt hatte – und worin mich auch der Bundesbeauftragte für Datenschutz unterstützt. Mein Argument: Weil die Metadaten im Facbeook-Netzwerk in personifizierter Weise weiterverwendet werden (z. B. in Form von Werbung oder als Kriterium für die Sortierung der Timeline in FB/Instagram), sind sie persönliche Daten und müssen deshalb auf Anfrage zur Verfügung gestellt werden.
Ich habe die DPC um eine Stellungnahme gebeten und werde hier darüber berichten.

Verstößt Whatsapp gegen die DSGVO?

Wer diesen Blog liest, weiß um meinen persönlichen, wenn auch nicht unbegründeten Kampf gegen Whatsapp. Weil es massenweise Handynummern abgreift, weil es chronisch unsicher ist  – und weil der Dienst Daten erhebt, ohne klar zu machen, wofür.

Ausschnitte Whatsapp Datenschutzhinweise und AGB

WHATSAPP DATENSCHUTZRICHTLINIE, online am 10. Juni 2018 (Ausschnitt):

Wir erfassen Informationen über deine Aktivität auf unseren Diensten. Dazu zählen dienstspezifische Informationen sowie Informationen für Diagnosezwecke und Performance-Informationen. Dies umfasst auch Informationen über deine Aktivität (beispielsweise wie du unsere Dienste nutzt, deine Einstellungen für Dienste, wie du mit anderen unter Nutzung unserer Dienste interagierst sowie Zeitpunkt, Häufigkeit und Dauer deiner Aktivitäten und Interaktionen), Log-Dateien sowie Diagnose-, Absturz-, Webseiten- und Performance-Logs und ‑Berichte. Dies umfasst auch Informationen darüber, wann du dich für die Nutzung unserer Dienste registriert hast, Informationen über die von dir genutzten Funktionen wie unsere Nachrichten-, Anrufe-, Status- oder Gruppen-Funktionen, über dein Profilbild, über deine Info, dazu ob du gerade online bist, wann du zuletzt unsere Dienste genutzt hast (dein „zuletzt online“) und wann du zuletzt deine Info aktualisiert hast.

WHATSAPP AGB (TERMS OF SERVICE), online am 10. Juni 2018 (Ausschnitt):

Die Datenschutzrichtlinie legt die Rechtsgrundlagen für unsere Verarbeitung von personenbezogenen Informationen über dich dar, darunter auch das Erfassen, Verwenden, Verarbeiten und Teilen solcher Informationen sowie die Übertragung und Verarbeitung solcher Informationen in die/den USA und andere/n Länder/n weltweit, wo wir Einrichtungen, Dienstleister, verbundene Unternehmen oder Partner haben bzw. einsetzen, und zwar unabhängig davon, wo du unsere Dienste nutzt.

Gefährlicherweise geschieht die Datenerhebung unter dem Radar der Nutzer – denn über Whatsapp werden persönliche Gespräche geführt. Bei Facebook beispielsweise dürfte die Datensammlung den meisten Nutzern die Datensammlung mittlerweile bewusst sein, zudem ist die Monetarisierung der Informationen kein Geheimnis. Bei einem Medium wie Whatsapp, das in der Regel in der Eins-zu-Eins-Kommunikation eingesetzt wird, gerät die Datensammlung jedoch leicht in Vergessenheit. Wenn der Dienst dann noch kostenfrei und werbefrei ist, ist die Frage, welche Daten genau gesammelt und wie sie (vom Mutterkonzern Facebook?) verwertet werden, berechtigt.

Die EU-DSGVO und Whatsapp

Hier bin ich der EU-Datenschutzgrundverordnung dankbar. Als betrieblicher Datenschutzbeauftragter einer Bildungseinrichtung glaube ich, die am 25. Mai 2018 in Kraft getretene Verordnung ganz gut zu kennen. Sie nimmt die Daten verarbeitenden Unternehmen beispielsweise in die Pflicht, Daten nur für die festgelegte Zwecke zu verwenden (Art. 5). Zudem gesteht die DSGVO den Verbrauchern ein Auskunftsrecht (Art. 15) und eine Einwilligungspflicht in die Datenverarbeitung (Art. 6) zu. Zudem haben sie Möglichkeit, persönliche Daten zu exportieren (Art. 20).

Um der Verordnung Rechnung zu tragen, hat Whatsapp der App eine Funktion hinzugefügt, in dem sich Nutzer ihre persönlichen Daten zuschicken lassen können. Von der Hoffnung getrieben, endlich konkrete Infos über die Datensammlung und -verwendung zu erhalten, habe ich Whatsapp trotz meiner grundsätzliche Ablehnung installiert, ein paar Nachrichten verschickt und dann diesen Bericht angefordert. Das Ergebnis ist dürftig. In dem Bericht stehen Infos zu meinem Onlinestatus, zu meinem Smartphone und – mein Hauptgrund, die App zu meiden – alle Telefonnummern meines Smartphones. Wenn ich schon gegen meine Prinzipien verstoße, hätte ich mir mehr gewünscht.
(Download DSGVO-Bericht_geschwärzt)

Was fehlt, sind Infos über

  • die Metadaten, also, wann ich mit wem von wo aus Kontakt habe. Das sind letztlich die Daten, die Whatsapp irgendwie monetarisiert. Dass Metadaten personenbezogene Daten sind, sehen viele deutsche Juristen und etliche Politiker so;
  • den Zweck und die Verantwortlichen der Datenverarbeitung – also welche „Partner“ des Unternehmens was genau damit machen.

Nothing’s up bei Whatsapp

Am 19. Mai hatte ich Whatsapp über die Support-Mailadresse um diese Informationen gebeten und mich auf die DSGVO gestützt. Als Deadline hatte ich den 1. Juni gesetzt.

Email an Whatsapp

Sehr geehrte Damen und Herren,

Ich habe über die Android-App einen Bericht meiner Account-Informationen angefordert und diesen auch erhalten. Grundsätzlich begrüße ich diese neue Funktion sehr. Leider findet sich darin aber nur ein Bruchteil der persönlichen Daten, die Sie laut Ihren Geschäftsbedingenen erheben und die Sie mir laut Art. 20 EU-DSGVO zwecks Datenportierung zur Verfügung [Anm.: Flüchtigkeitsfehler aus Originalmail korrigiert] stellen müssen. Beispielsweise sind die Verbindungsdaten meiner Chats, also u. a. wann ich von wo aus mit wem Kontakt hatte, nicht in dem zugesandten Datensatz erhalten.
Ebenso gibt mir die Datenschutzgrundverordnung das Recht zu erfahren, zu welchem Zweck Sie diese Daten konkret gesammelt und wie sie verarbeitet wurden (vgl. Art. 5 und 6).
Bitte senden Sie mir diese Informationen bis zum 1. Juni 2018 zu. Diese Email sowie die Ergebnisse meines Ersuchens werde ich auf meinem Blog www.spaehgypten.de veröffentlichen.

Es grüßt Sie
Michael Brendel

Was folgte, war ernüchternd. Nach einer Standardantwort, die auf die FAQ verwies, habe ich am 21. Mai mein Anliegen bekräftigt (per Mail an eine offenbar dem Fall zugeordneten individuelle Supportadresse) und am 3. Juni erneut eine Mail geschickt, in dem ich den 6. Juni als spätesten Termin für die Antwort festgesetzt habe.

Doch: Whatsapp meldete sich nicht.
Seit drei Wochen keine menschliche Reaktion.

Das Unternehmen verstößt damit nicht nur gegen die Spielregeln einer guten Kundenbeziehung. Weil es mir die Auskunft über meine personenbezogenen Daten und deren Verarbeitung verweigert, verstößt es aus meiner Sicht auch gegen die EU-Datenschutzgrundverordnung.
Ich habe deshalb heute die niedersächsische Datenschutzbeauftragte um Vertretung meiner Verbraucherinteressen gebeten. Ich werde berichten, wie sie die Lage einschätzt.

[Update 5.8.2018:

Ich habe Post von der Landesbeauftragten für Datenschutz bekommen. Sie hat meinen Fall an die Bundesbeauftragte Andrea Voßhoff weitergeleitet, weil der Dienst Whatsapp dem Telekommunikationsgesetz (TKG) unterliegt. Ich bin gespannt, wann ich von ihr höre.]

Terrorabwehr braucht keine Massenüberwachung

In der Terrorabwehr läuft vieles falsch. Die Massenüberwachung z. B. Quelle: ARD/Arte

Braucht Terrorabwehr Massenüberwachung? Der Film „Terrorjagd im Netz„, der heute auf ARTE lief und in dessen Mediathek zu sehen ist, sagt: Nein.

In der sehenswerten Dokumentation wird beispielsweise eine private Initiative vorgestellt, die anhand öffentlich zugänglicher Informationen Terrorverdächtige ermitteln kann – indem Kommunikationswege analysiert und dargestellt werden, und das heißt auch: ohne, dass die Privatsphäre der Betroffenen verletzt wird. Eine These des Films: Wäre das von drei Zivilisten entwickelte Computersystem in behördlichem Einsatz gewesen, wäre der Terroranschlag vom 19.12.2016 in Berlin verhindert worden.

Das System weist viele Parallelen zu einem NSA-Tool auf, das Ende der 1990erjahre entwickelt wurde. Auch „Thinthread“ verfolgte nicht die Auswertung massenhafter gesammelter Daten, sondern die Analyse von Kommunikationsverhalten. Es wurde drei Wochen vor dem 9.11.2011 zugunsten eines größeren Projekts abgeschaltet – obwohl, wie ein späterer Test bestätigte, die Attentäter von 9/11 als solche hätten identifiziert werden können.

Die dritte steile, aber von verschiedenen Gesprächspartnern untermauerte These, nennt den Grund für die Liebe der Geheimdienste zur Massenüberwachung: Geld. Denn besonders in den USA liegen Überwachungstechniken in der Hand kommerziell operierender Unternehmen, in denen ehemalige NSA-Bediensteten beschäftigt sind. (Der Whisteblower Edward Snowden war ja bei solch einem privaten Sicherheitsdienstleiter beschäftigt).

Massenüberwachung hat noch keinen einzigen Terroranschlag verhindert. Ja, viele Mitarbeiter der Geheimdienste beschweren sich über diesen höchste ineffizienten Ansatz, der dazu führt, dass die Dienste die Auswertung von Daten erst ein Jahr nach Erhebung abgeschlossen haben.
Andere Systeme, die viel schneller Gefahren erkennen und bereits im Besitz der NSA waren, hätten Anschläge verhindern können. Und es gibt Systeme, die es heute können, ohne dabei die Privatsphäre zu verletzen.
Aber Massenüberwachung ist ein Riesengeschäft. Ist das ein Zufall?
Ich empfehle sehr „Terrorjagd im Netz“ anzusehen. puttygen