Kein Messenger-Dienst ist so ein integrierter Bestandteil in der alltäglichen Kommunikation geworden wie WhatsApp. Selbst aus dem Berufsleben ist der Dienst kaum mehr wegzudenken. Wenngleich WhatsApp datenschutzrechtlich stets ein heikles Thema war und bleibt – erst recht, wenn Deutschlands oberster Datenschützer eine folgenschwere Mitteilung macht.
Am 24.05.2020 machte Ulrich Kelber, Bundesbeauftragter für Datenschutz und Informationssicherheit deutlich, dass er WhatsApp als Sicherheitsrisiko einstuft. In einem Rundschreiben an alle Bundesministerien und -behörden teilt er unmissverständlich mit, dass die Nutzung von WhatsApp für den dienstlichen Einsatz ausgeschlossen ist.
Der Konflikt zwischen deutschen Datenschützern und WhatsApp ist währt schon lange. Der Umstand, dass früher Daten des Messengers an den Mutterkonzern Facebook übertragen wurden, hat zu einer erbitterten juristischen Auseinandersetzung geführt. Die Sorge, dass Facebook oder Dritte die Nachrichten mitlesen oder versendete Bilder sowie Videos abgreifen und auswerten, konnte nie ganz ausgeräumt werden. Auch nicht, nachdem WhatsApp zugesagt hatte, für mehr Sicherheit und Vertraulichkeit zu sorgen.
Verfahren und Sicherheit der Verschlüsselung
Die Kommunikation über WhatsApp ist Ende-zu-Ende verschlüsselt. Darunter versteht man die Verschlüsselung von Daten über alle Übertragungsstationen hinweg. Durch die Verschlüsselung wird das Mitlesen von Nachrichten durch alle am Übertragungsprozess Beteiligte (Telekommunikationsanbieter, Internet-Provider und Kommunikationsdienstanbieters) verhindert und selbst Strafverfolgungsbehörden haben keinen Zugriff mehr. Ausschließlich die jeweiligen Endpunkte der Kommunikation können die Nachricht entschlüsseln. Gebräuchliche Techniken für Ende-zu-Ende-Verschlüsselung sind u.a.
- OpenPGP und S/MIME beim E-Mail-Verkehr
- OTR und OMEMO beim Chat-Verkehr
- ZRTP/SRTP bei Audio-/Video-Chats und SIP-Telefonie
Doch reichen Verschlüsselungsverfahren aus um sicherzustellen, dass wirklich keine Daten übertragen und ausgewertet werden? Aus Sicht des Bundesdatenschutzbeauftragten nicht. Denn es werden trotzdem Daten übertragen. In seinem Rundschreiben führt er aus, man müsse nicht nur davon ausgehen, dass WhatsApp bei jeder Nachricht Metadaten erhebt, sondern dass diese auch an den Mutterkonzern Facebook weitergegeben werden. Diese Metadaten tragen – wenn auch nur als kleine Mosaiksteine – zur verstärkten Profilbildung bei. Aus seiner Sicht reicht es aus, dass so z.B. durch die Art der Behörde sowie die Kommunikationshäufigkeit sensible Rückschlüsse möglich werden. Zu diesen Metadaten gehören:
- IP-Adresse
- Standortdaten
- Informationen über das Smartphone und das Betriebssystem
Der Betreiber des Messenger-Diensts widerspricht, indem er postuliert, dass WhatsApp keine Nachrichten lesen kann, da diese standardmäßig durchgehend verschlüsselt sind. Die Antwort geht nicht wirklich auf die Vorwürfe des Bundesdatenschutzbeauftragten ein. In seiner Kritik ging es nämlich um die unverschlüsselten Metadaten, die automatisiert ausgewertet werden können und Rückschlüsse auf Inhalte sowie Kommunikationspartner und -netzwerke zulassen. Konkret auf die Weiterleitung von Metadaten angesprochen führt das Unternehmen aus, dass WhatsApp keine Metadaten von Nutzern an Facebook weitergibt, um den Aufbau von Profilen zu unterstützen oder auf andere Art Facebooks Produkte oder Werbung zu verbessern.
Dieses Statement reiht sich nahtlos in das bisherige Muster des amerikanischen Unternehmens ein, denen allen gemein ist, dass sie datenschutzrechtliche Bedenken abtun ohne nachhaltig für Transparenz zu sorgen. Solange sich diese Haltung nicht ändert, sind datenschutzrechtliche Bedenken im Zusammenhang mit WhatsApp oder Facebook nicht von der Hand zu weisen und man sollte sich nicht einfach damit abfinden, sondern stets sensibilisiert bleiben.
Quelle: Bayerischer Rundfunk, München
27.05.2020
Photo by Bill Oxford on Unsplash
