Verstößt Whatsapp gegen die DSGVO?

Wer diesen Blog liest, weiß um meinen persönlichen, wenn auch nicht unbegründeten Kampf gegen Whatsapp. Weil es massenweise Handynummern abgreift, weil es chronisch unsicher ist  – und weil der Dienst Daten erhebt, ohne klar zu machen, wofür.

[expand title="Ausschnitte Whatsapp Datenschutzhinweise und AGB"]

WHATSAPP DATENSCHUTZRICHTLINIE, online am 10. Juni 2018 (Ausschnitt):

Wir erfassen Informationen über deine Aktivität auf unseren Diensten. Dazu zählen dienstspezifische Informationen sowie Informationen für Diagnosezwecke und Performance-Informationen. Dies umfasst auch Informationen über deine Aktivität (beispielsweise wie du unsere Dienste nutzt, deine Einstellungen für Dienste, wie du mit anderen unter Nutzung unserer Dienste interagierst sowie Zeitpunkt, Häufigkeit und Dauer deiner Aktivitäten und Interaktionen), Log-Dateien sowie Diagnose-, Absturz-, Webseiten- und Performance-Logs und ‑Berichte. Dies umfasst auch Informationen darüber, wann du dich für die Nutzung unserer Dienste registriert hast, Informationen über die von dir genutzten Funktionen wie unsere Nachrichten-, Anrufe-, Status- oder Gruppen-Funktionen, über dein Profilbild, über deine Info, dazu ob du gerade online bist, wann du zuletzt unsere Dienste genutzt hast (dein „zuletzt online“) und wann du zuletzt deine Info aktualisiert hast.

WHATSAPP AGB (TERMS OF SERVICE), online am 10. Juni 2018 (Ausschnitt):

Die Datenschutzrichtlinie legt die Rechtsgrundlagen für unsere Verarbeitung von personenbezogenen Informationen über dich dar, darunter auch das Erfassen, Verwenden, Verarbeiten und Teilen solcher Informationen sowie die Übertragung und Verarbeitung solcher Informationen in die/den USA und andere/n Länder/n weltweit, wo wir Einrichtungen, Dienstleister, verbundene Unternehmen oder Partner haben bzw. einsetzen, und zwar unabhängig davon, wo du unsere Dienste nutzt.

[/expand]

Gefährlicherweise geschieht die Datenerhebung unter dem Radar der Nutzer – denn über Whatsapp werden persönliche Gespräche geführt. Bei Facebook beispielsweise dürfte die Datensammlung den meisten Nutzern die Datensammlung mittlerweile bewusst sein, zudem ist die Monetarisierung der Informationen kein Geheimnis. Bei einem Medium wie Whatsapp, das in der Regel in der Eins-zu-Eins-Kommunikation eingesetzt wird, gerät die Datensammlung jedoch leicht in Vergessenheit. Wenn der Dienst dann noch kostenfrei und werbefrei ist, ist die Frage, welche Daten genau gesammelt und wie sie (vom Mutterkonzern Facebook?) verwertet werden, berechtigt.

Die EU-DSGVO und Whatsapp

Hier bin ich der EU-Datenschutzgrundverordnung dankbar. Als betrieblicher Datenschutzbeauftragter einer Bildungseinrichtung glaube ich, die am 25. Mai 2018 in Kraft getretene Verordnung ganz gut zu kennen. Sie nimmt die Daten verarbeitenden Unternehmen beispielsweise in die Pflicht, Daten nur für die festgelegte Zwecke zu verwenden (Art. 5). Zudem gesteht die DSGVO den Verbrauchern ein Auskunftsrecht (Art. 15) und eine Einwilligungspflicht in die Datenverarbeitung (Art. 6) zu. Zudem haben sie Möglichkeit, persönliche Daten zu exportieren (Art. 20).

Um der Verordnung Rechnung zu tragen, hat Whatsapp der App eine Funktion hinzugefügt, in dem sich Nutzer ihre persönlichen Daten zuschicken lassen können. Von der Hoffnung getrieben, endlich konkrete Infos über die Datensammlung und -verwendung zu erhalten, habe ich Whatsapp trotz meiner grundsätzliche Ablehnung installiert, ein paar Nachrichten verschickt und dann diesen Bericht angefordert. Das Ergebnis ist dürftig. In dem Bericht stehen Infos zu meinem Onlinestatus, zu meinem Smartphone und – mein Hauptgrund, die App zu meiden – alle Telefonnummern meines Smartphones. Wenn ich schon gegen meine Prinzipien verstoße, hätte ich mir mehr gewünscht.
(Download DSGVO-Bericht_geschwärzt)

Was fehlt, sind Infos über

  • die Metadaten, also, wann ich mit wem von wo aus Kontakt habe. Das sind letztlich die Daten, die Whatsapp irgendwie monetarisiert. Dass Metadaten personenbezogene Daten sind, sehen viele deutsche Juristen und etliche Politiker so;
  • den Zweck und die Verantwortlichen der Datenverarbeitung – also welche “Partner” des Unternehmens was genau damit machen.

Nothing’s up bei Whatsapp

Am 19. Mai hatte ich Whatsapp über die Support-Mailadresse um diese Informationen gebeten und mich auf die DSGVO gestützt. Als Deadline hatte ich den 1. Juni gesetzt.

[expand title="Email an Whatsapp"]

Sehr geehrte Damen und Herren,

Ich habe über die Android-App einen Bericht meiner Account-Informationen angefordert und diesen auch erhalten. Grundsätzlich begrüße ich diese neue Funktion sehr. Leider findet sich darin aber nur ein Bruchteil der persönlichen Daten, die Sie laut Ihren Geschäftsbedingenen erheben und die Sie mir laut Art. 20 EU-DSGVO zwecks Datenportierung zur Verfügung [Anm.: Flüchtigkeitsfehler aus Originalmail korrigiert] stellen müssen. Beispielsweise sind die Verbindungsdaten meiner Chats, also u. a. wann ich von wo aus mit wem Kontakt hatte, nicht in dem zugesandten Datensatz erhalten.
Ebenso gibt mir die Datenschutzgrundverordnung das Recht zu erfahren, zu welchem Zweck Sie diese Daten konkret gesammelt und wie sie verarbeitet wurden (vgl. Art. 5 und 6).
Bitte senden Sie mir diese Informationen bis zum 1. Juni 2018 zu. Diese Email sowie die Ergebnisse meines Ersuchens werde ich auf meinem Blog www.spaehgypten.de veröffentlichen.

Es grüßt Sie
Michael Brendel

[/expand]

Was folgte, war ernüchternd. Nach einer Standardantwort, die auf die FAQ verwies, habe ich am 21. Mai mein Anliegen bekräftigt (per Mail an eine offenbar dem Fall zugeordneten individuelle Supportadresse) und am 3. Juni erneut eine Mail geschickt, in dem ich den 6. Juni als spätesten Termin für die Antwort festgesetzt habe.

Doch: Whatsapp meldete sich nicht.
Seit drei Wochen keine menschliche Reaktion.

Das Unternehmen verstößt damit nicht nur gegen die Spielregeln einer guten Kundenbeziehung. Weil es mir die Auskunft über meine personenbezogenen Daten und deren Verarbeitung verweigert, verstößt es aus meiner Sicht auch gegen die EU-Datenschutzgrundverordnung.
Ich habe deshalb heute die niedersächsische Datenschutzbeauftragte um Vertretung meiner Verbraucherinteressen gebeten. Ich werde berichten, wie sie die Lage einschätzt.

[Update 5.8.2018:

Ich habe Post von der Landesbeauftragten für Datenschutz bekommen. Sie hat meinen Fall an die Bundesbeauftragte Andrea Voßhoff weitergeleitet, weil der Dienst Whatsapp dem Telekommunikationsgesetz (TKG) unterliegt. Ich bin gespannt, wann ich von ihr höre.]

Facebook+Whatsapp vs. Datenschutz – der Showdown

Zwischen Whatsapp, Facebook und dem Datenschutz scheint es zu einem Showdown zu kommen: Zum Start der EU-Datenschutzgrundverordnung (DSGVO), die ein einheitliches, hohes Schutzniveau für personenbezogene Daten in ganz Europa sichern will, wurde bekannt, das Facebook mehr Daten als bisher mit Facebook austauscht, u.a. die Mobilfunknummer.
Gleichzeitig geht der Aktivist Max Schrems mit der Grundverordnung im Rücken gegen Whatsapp, Facebook und Google vor.
Auch ich warte noch auf eine Mail vom Whatsapp-Support in Sachen DSGVO.

Wie das Spiel ausgeht, ist ungewiss. Doch scheinbar gibt es erstmals seit Snowdens Enthüllungen wieder eine breite Öffentlichkeit, die den Schutz persönlicher Daten will. Ich vermute, Die nächsten Wochen und Monate werden viel Dreckiges an den Tag bringen – aber (siehe der BND-Rückzieher)
Wer sich für Datensouveränität stark macht, ist nicht mehr allein!

Der Staatstrojaner: Eine Gefahr für Gesellschaft, Individuum und Demokratie

Der Bundestag hat am Donnerstag die weitreichendes Gesetz zur Überwachung von Computern und Smartphones abgesegnet. Die Strafverfolgungsbehörden und Innenminister hatten es gefordert, weil sie zwar die SMS von Tatverdächtigen mitlesen oder Telefonate mithören können, nicht aber die verschlüsselten Nachrichten beispielsweise von Whatsapp.
Den Politikern, die das Gesetz beschlossen haben, war entweder nicht bewusst, dass das ein Äpfel-mit-Birnen-Vergleich ist, oder sie haben absichtlich eine Ermittlungsmethode genehmigt, die deutlich mächtiger ist als das bisherige SMS- und Gespräch-Abfangen. Denn Textnachrichten und Handytelefonate werden “über die Luft” abgefangen, d.h. von Mobilfunkbetreiber zu Mobilfunkbetreiber. Eine Whatsapp- oder auch Threema-Nachricht kann nur auf dem Gerät abgefangen werden, d.h., bevor sie verschlüsselt wird.
Die Bundesregierung will dazu eine Software auf das Smartphone laden, die inoffiziell “Staatstrojaner” oder “Bundestrojaner” genannt wird. Natürlich arbeitet diese Software genauso im Geheimen wie ihre Entwickler. Dementsprechend ist nicht klar, was genau sie auf den Smartphones tut. Ziel der nun erlaubten “Quellen-Telekommunikationsüberwachung” ist es, Chats zwischen dem Verdächtigen und möglichen Komplizen mitzulesen. Das halte ich für legitim. Auch, dass die Ermittler so Konversationen lesen können, die in die Vergangenheit zurück reichen – was durch die SMS-Überwachung nicht möglich ist – stört mich nicht. Doch durch den Staatstrojaner haben die Behörden Vollzugriff auf das Smartphone des Verdächtigen – und der ist bei der nun ebenfalls genehmigten “Online-Durchsuchung” auch erwünscht. Die Regierung will zwar sicherstellen, “dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden”, wie es das Bundesverfassungsgericht vorschreibt. Doch das ist technisch kaum möglich, wie Hartmut Pohl von der Gesellschaft für Informatik beschreibt. Auch Frank Rieger vom Chaos Computer Club glaubt nicht an eine saubere Trennung zwischen Erlaubtem und Möglichem, wie er im Deutschlandfunk sagt:

Die Unterscheidung zwischen einem Trojaner, der nur Kommunikation ausleiten soll und einem, der zum Beispiel zur Raumüberwachung geeignet ist, ist nicht zu treffen.

Rein technisch ermöglicht der Trojaner also den Zugriff auf den gesamten Handy-Inhalt und dessen Hardware: auf gespeicherte Bilder, Termine, Bankdaten, Einkaufszettel, private Notizen, Spiele-Highscores, aber auch auf die Kamera, das Mikrofon und den GPS-Sensor. Wer sich ins Handy hackt, bekommt Einblick in ein ganzes Leben. In eines? Nein! Auch in das der Personen, mit denen der Verdächtige verbunden ist. Seine Kinder, deren Bilder er auf seinem Handy gespeichert hat, sind vermutlich unschuldig, seine Freundin, die ihm Liebesbotschaften schickt, vermutlich auch. Doch diese Daten, die den Schmelzpunkt privater Lebensgestaltung darstellen, sind nun in der Hand Fremder. Die Privatsphäre eines so ausgehorchten Verdächtigen und seiner Lieben stirbt mit der Installation des Staatstrojaners. Weitere grundsätzliche Bedenken zu Überwachungstrojanern sind im nächsten Artikel veröffentlicht.

Eine so weitreichende Maßnahme wie die am Donnerstag beschlossene gefährdet das Grundecht auf Vertraulichkeit und Integrität informationstechnischer Systeme – aus oben genanntem Grund, aber auch deshalb, weil nicht transparent ist, nach welchen Kriterien im Einzelfall Daten ausgewertet werden. Ein Richter muss den Vollzugriff aufs Handy erlauben, aber ein Ermittler entscheidet letztlich, was privat ist und was nicht. Vertrauen wir auf seinen moralischen Kompass?

  • Was ist mit der Unschuldsvermutung?
  • Wie wird das Recht auf Privatsphäre / Recht am eigenen Bild der mit-ausgespähten Handykontakte geschützt?
  • Was ist, wenn sich der Verdacht nicht erhärtet?
  • Erfährt der Smartphonenutzer, dass er rehabilitiert ist?
  • Gibt es Schadensersatz für verletzte Privatsphäre?
  • Wer garantiert, dass die Hackersoftware wieder deinstalliert wird?

Das Gesetz fördert das Misstrauen in die Strafverfolgung, und das auch aus einem weiteren Grund: Denn der Trojaner darf nicht nur im Terrorzusammenhang eingesetzt werden – eine Grenze, die das BVerfG gezogen hat – sondern auch bei Drogendelikten, Sportwettbetrügereien, Steuerhinterziehung und Einbruchsfällen. Für alle Delikte, bei denen bislang auch das Telefon abgehört und SMS abgefangen werden durften, wird nun die mächtige Waffe Staatstrojaner zum Standardinstrument. Grünen-MdB Ströbele:

Künftig können etwa Verdächtige, die 50 Gramm Haschisch in der Tasche haben, weitgehend überwacht werden.

Die Bündnisgrünen erwägen Eine Klage gegen das Gesetz in Karlsruhe. Deren Netzexperte Konstantin von Notz hatte gegenüber netzpolitik.org schon im Mai bezweifelt, dass die nun abgesegnete Methode verfassungsgemäß sei:

Der Einsatz von Staatstrojanern ist ein intensiver Grundrechtseingriff, der – das hat das Bundesverfassungsgericht deutlich gemacht – nur bei besonderer Gefahr für Leib, Leben und Gesundheit.

Das Gesetz steht also auf wackeligen Füßen.
Zudem fördert es das Misstrauen in die Demokratie.
In Windeseile hat die Regierungskoalition den Beschluss der Innenministerkonferenz umgesetzt. Statt ein ordentliches Gesetzgebungsverfahren zu eröffnen, wurde es auf dem Rücken eines ganz anderen Gesetzes mitbeschlossen, in dem es um “Fahrverbot als Nebenstrafe” geht (die FAZ spricht vom “Einschmuggeln”.) Der Bundesrat wurde umgangen.
Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar kritisiert, dass “die entsprechenden Überwachungsbefugnisse in einem parlamentarischen Schnelldurchgang ohne Möglichkeit zur gründlichen Prüfung und Debatte” beschlossen worden seien. Auch der Deutsche Anwaltverein hält den Verfahrenstrick für verfassungsrechtlich bedenklich.
Doch auch Nichtjuristen könnten vermuten, die Diskussion über die weitreichenden Maßnahmen solle durch dieses Vorgehen klein gehalten, angesichts der nun beginnenden Sommerferien vielleicht ganz unterdrückt werden. Doch wo die Privatsphäre auf dem Spiel steht, muss Zeit für eine breite gesellschaftliche Diskussion sein. Wer erinnert sich an die leidenschaftliche Debatte um den Großen Lauschangriff? Im Gegensatz zum ratzfatz in Kraft gesetzten Staatstrojaner-Gesetz geht es dabei um Pippifax.

Aus zwei weiteren Gründen ist das Gesetz gefährlich: Das Gesetz fördert das Misstrauen in Technik. Und es fördert Hacking im Allgemeinen. Denn der Staatstrojaner nutzt Sicherheitslücken in Smartphone-Betriebssystemen aus, um sich auf den Geräten der Verdächtigen zu installieren. Statt die Programmierer bei Apple, Microsoft und den Android-Entwickler auf Schwachstellen in der Software hinzuweisen, werden sie künftig als Einfallstor des Staatstrojaners missbraucht. Alle anderen betroffenen Handies bleiben unsicher. Dabei war die Empörung über die von der US-Regierung verschwiegene Windows-Sicherheitslücke groß, über die der Trojaner “Wanna Cry” für einen beachtlichen Schaden sorgen konnte. Es ist fraglich, ob der Preis des neuen Ermittlungswerkzeugs angesichts der Gefahr für die IT-Sicherheit nicht zu hoch ist. Denn durch bekannte, aber nicht gemeldete – und damit nicht gestopfte – Sicherheitslücken haben aber auch andere, beispielsweise zivile, Hacker, Zugriff auf die Smartphones. Und die werden sich, wenn sie es denn auf die privaten Daten abgesehen haben, nicht an die Vorgaben des BVerfG gebunden fühlen. Smartphones werden also staatlich gewollt unsicher sein. Die Folgen sind nicht nur Überwachung, sondern möglicherweise auch Betrug, Abzocke, Erpressung.
Die Welt wird nicht sicherer.
Big Brother schießt sich ins Knie.

Doch die Hoffnung stirbt zuletzt. Ich hoffe,

  • dass die Oppositionsparteien, am besten gemeinsam mit Bürgerinitiativen wie Digitalcourage oder Netzpolitik, Klage beim Bundesverfassungsgericht einreichen;
  • dass die obersten Richter die Hauruck-Politiker auf die engen Grenzen hinweist, in denen unser Grundgesetz Überwachung erlaubt;
  • dass der Bundestrojaner infolgedessen so schnell wie möglich gestoppt wird;
  • dass die Wähler bei der Bundestagswahl am 24. September mit über den Staatstrojaner, das novellierte BND-Gesetz und die Vorratsdatenspeicherung abstimmen;
  • dass sich die von vielen Seiten geäußerte Kritik am Staatstrojaner zur längst überfälligen gesamtgesellschaftlichen Debatte über den Wert von persönlichen daten entwickelt;
  • dass Apple, Microsoft und die Android-Entwickler noch sauberer programmieren und Sicherheitslücken noch schneller schließen;
  • dass jeder Smartphone-Nutzer regelmäßig Betriebssystem-Updates installiert;
  • dass die freie Entwicklergemeinde, die angepasste Firmwares für das Android-System programmiert, dem Staatstrojaner den Zugang versperrt;
  • dass die Maßnahmen, auch wenn ich sie ablehne, wenigstens zur Abschreckung möglicher Krimineller führen.

In einem provokanten Lied hat Reinhard Mey auf den Punkt gebracht, was die Zivilgesellschaft vor Abreise in den Sommerurlaub auf jeden Fall mit den Koffer packen sollte: Wachsamkeit.

Sei wachsam,
Präg’ dir die Worte ein!
Sei wachsam,
Fall nicht auf sie rein!
Paß auf, daß du deine Freiheit nutzt,
Die Freiheit nutzt sich ab, wenn du sie nicht nutzt!
Sei wachsam,
Merk’ dir die Gesichter gut!
Sei wachsam,
Bewahr dir deinen Mut.
Sei wachsam
Und sei auf der Hut!