Gehackte E-Mails, Datenschutzskandale und DSGVO-Wirrwarr: Wie schneidet WhatsApp ab?

Dass WhatsApp in puncto Datenschutz teils fragwürdig agiert, ist bekannt. Immer wieder gab es interne Diskussionen über den Umgang mit Nutzerdaten. Die Süddeutsche Zeitung schreibt im Zuge der entdeckten Sicherheitslücken bei verschlüsselten E-Mails der Verschlüsselungsstandards PGP und S/Mime nun, viele Messenger, darunter auch WhatsApp, sind im Gegensatz zu verschlüsselten E-Mails sicher und bieten Ersatz. Also doch besser zu WhatsApp greifen? Ist WhatsApp überhaupt mit der DSGVO vereinbar?

 

Die Unsicherheit bei den Unternehmen im Umgang mit WhatsApp ist groß. Bevor die Verwirrung jetzt überhand nimmt, beleuchten wir den beliebten Messenger-Dienst einmal genau. Wir prüfen, wie die App beim Datenschutz abschneidet und welche Risiken sie für Ihre Unternehmenskommunikation birgt.

Die große Mehrheit verwendet Messenger

Einfach eine Sprachnotiz hinterlassen, wenn man gerade zu faul ist drauf los zu tippen, im Gruppenchat alle wichtigen Informationen sammeln, die To-do-Liste weiterleiten, Bilder und Videos verschicken – Messenger vereinen zahlreiche Funktionen in einem Tool und sind für viele in der Alltags- und Geschäftskommunikation unersetzlich.

 

Das bestätigt auch eine Studie von bitkom. Demnach benutzen 89 Prozent der Internetnutzer Kurznachrichtendienste wie zum Beispiel WhatsApp oder Facebook Messenger, zwischen den 14- und 29-Jährigen sind es sogar 98 Prozent.

Auch viele Unternehmen kommunizieren mit ihren Kunden über Messenger. Das ist ja auch praktisch – der Kunde kann zum Beispiel schnell ein Foto vom Schaden machen, an den Handwerker schicken und der bringt sofort das passende Werkzeug mit oder sendet einen Kostenvoranschlag zurück. Und auch zur allgemeinen Terminvereinbarung sowie zur Kommunikation mit Kollegen und Mitarbeitern greifen viele Unternehmen auf Messenger-Dienste zurück.

Es ist Vorsicht geboten

Dass hier aber große Vorsicht geboten ist, dürfte vielen Unternehmen im Angesicht der DSGVO inzwischen klar sein. Denn: Nicht alle Messenger erfüllen die Angaben der DSGVO und können problemlos bei der Kommunikation im Unternehmen eingesetzt werden.

 

Wenn Sie auf Messenger-Dienste zurückgreifen, sollten diese sicher und rechtskonform sein. Nur so können Sie Ihr Unternehmen vor Datenlecks und hohen Bußgeldern bewahren. Sichere Kommunikation ist das A und O, um Ihre Daten und Ihr Unternehmen zu schützen. Damit meinen wir sowohl die Kommunikation mit Ihren Kunden als auch die interne Kommunikation, deren Sicherheit Unternehmen häufig vernachlässigen.

Die Wahl des Messengers

90 Prozent der Internetnutzer ist bei der Wahl des Messenger-Dienstes der Umgang mit den eigenen Daten wichtig. 87 Prozent der Befragten legen Wert auf die Datensicherheit der Kommunikation, zum Beispiel durch Ende-zu-Ende-Verschlüsselung, und die Hälfte der Befragten legt Wert auf die automatische Löschung des Chats nach einem gewissen Zeitraum. Welchen Messenger benutzen Sie?

 

Wenn Sie auf WhatsApp zurückgreifen, gehören Sie zur großen Mehrheit in Deutschland. 81 Prozent der Internetnutzer verwenden WhatsApp, den beliebtesten Messenger-Dienst in Deutschland. Doch welche Risiken birgt der Messenger? Sind Ihre Daten dort gut aufgehoben?

 

Viele Unternehmen greifen auf Messenger-Dienste wie WhatsApp zurück.

Wie sicher ist WhatsApp?

Alle Inhalte, wie Textnachrichten, Bilder und Audiodateien, die Sie in den Chats von WhatsApp versenden, sind Ende-zu-Ende-verschlüsselt und somit grundsätzlich sicher.

 

Ende-zu-Ende-verschlüsselt heißt, dass die Daten über alle Übertragungsstationen hinweg verschlüsselt sind. Wenn Sie eine WhatsApp-Nachricht verschicken, wird sie bei Ihnen verschlüsselt und erst beim Empfänger wieder entschlüsselt, nur an den jeweiligen Endpunkten der Kommunikation ist sie lesbar. Somit ist Ihre Nachricht geschützt – wenn ein Hacker die Nachricht unterwegs abfängt, ist sie immer noch verschlüsselt und er kann sie nicht lesen.

 

Auch WhatsApp selbst kann die Inhalte angeblich nicht mitlesen oder mithören. Entwickler widersprechen dem: Haben Sie sowohl WhatsApp als auch die App des Mutterkonzerns Facebook auf dem iPhone installiert, kann Facebook – rein technisch betrachtet – WhatsApp-Unterhaltungen auslesen, trotz Verschlüsselung. Derzeit gibt es jedoch keinerlei Hinweis darauf, dass Facebook von diesem Schlupfloch Gebrauch macht.

Schwachstelle Datenschutz

Dennoch weist WhatsApp erhebliche Schwachstellen auf, insbesondere wenn es um den Datenschutz der Nutzer geht.

 

Bei den Chat-Nachrichten ist zwar nicht der Inhalt selbst einsehbar, die Metadaten erfasst die App aber trotzdem: Wer hat die Nachricht wann an wen versendet? Und von wo? Standortdaten, Uhrzeit und Kommunikationspartner kann WhatsApp problemlos ermitteln und einsetzen, um zu Werbezwecken Kommunikations- und Bewerbungsprofile zu erstellen.

Entspricht das der DSGVO?

Auch auf Ihr Adressbuch hat WhatsApp Zugriff, was datenschutzrechtlich besonders kritisch ist. WhatsApp lädt bei der Nutzung der App nämlich Ihr gesamtes Adressbuch auf seinen Server in den USA. Sie geben nicht nur Ihre eigenen Daten preis, sondern auch die all Ihrer Kontakte, inklusive derer, die selbst lieber auf WhatsApp verzichten. Bei einer geschäftlichen Nutzung der App geben Sie folglich die Daten Ihrer Kunden und Geschäftspartner weiter. Und auch wenn Sie die App nicht für die geschäftliche Kommunikation benutzen, jedoch auf Ihrem Diensthandy installiert haben, greift WhatsApp auf Ihr komplettes Adressbuch zu. Laut DSGVO brauchen Sie bei einer geschäftlichen Nutzung dafür aber eine schriftliche Einwilligung von allen Betroffenen, also von jedem Kontakt, den Sie in Ihr Adressbuch aufnehmen – und zwar bereits bevor Sie die Nummer abspeichern. Das gilt im Übrigen sowohl für WhatsApp als auch WhatsApp Business.

 

Lassen Sie sich Fotos von Kunden schicken, wie zum Beispiel in vielen handwerklichen Betrieben bei einem Reparaturauftrag üblich, stehen Sie vor einem zusätzlichen Dilemma: Auch hierfür brauchen Sie eine extra Einwilligung des Kunden, da es sich bei dem Bildtransfer um eine Datenübertragung an WhatsApp handelt.

 

Das Recht des Nutzers auf Vergessenwerden, also dass seine Daten gelöscht werden, ist bei WhatsApp bisher ebenfalls nicht gegeben – ein weiterer Punkt, in dem die App bislang nicht den Anforderungen der DSGVO entspricht und den Datenschutz der Nutzer auf die leichte Schulter nimmt.

Neue Features für mehr Datenschutz

Das Unternehmen scheint jedoch an Features zum DSGVO-konformen Datenschutz zu arbeiten. In der Beta-Version der App ist eine neue Funktion zu finden, mit der Nutzer ihre erfassten Daten zukünftig abrufen und herunterladen können. Das deutet zumindest darauf hin, dass WhatsApp künftig eine Funktion einbinden wird, die dem Recht des Nutzers auf Datenauskunft nachkommt. Demnach können Nutzer bald ihre von WhatsApp gespeicherten Daten einfordern. Das Unternehmen schickt dann innerhalb von 20 Tagen einen individuellen Datenreport, der sämlichte Daten beinhaltet, die es vom Nutzer gesammelt hat. Sobald der Nutzer den Report heruntergeladen hat, löscht WhatsApp den Bericht vom Server. Beim Nicht-Herunterladen löscht das Unternehmen den Datenbericht automatisch nach 20 Tagen.

Datenweitergabe an Facebook?

In der Theorie kann WhatsApp all diese Daten an den Mutterkonzern Facebook weiterreichen. Denn seitdem WhatsApp zu Facebook gehört, können die Daten innerhalb der beiden geteilt werden.

 

Die Weitergabe personenbezogener Daten von WhatsApp an Facebook war bisher in Europa untersagt. In Deutschland hatte das Oberverwaltungsgericht in Hamburg entschieden, dass WhatsApp die Daten trotz Zustimmung der Anwender nicht weiterleiten darf.

 

Mit dem Starttermin der DSGVO wollte WhatsApp allerdings sehr wohl von der Möglichkeit der Datenweitergabe Gebrauch machen und  die Daten DSGVO-konform mit Facebook teilen. Diese Ankündigung hat Facebook nun umgesetzt.

WhatsApp teilt zahlreiche Daten mit Facebook

Inzwischen teilt WhatsApp einen großen Teil der gesammelten Nutzerdaten mit Facebook. Das geht aus dem FAQ-Bereich der Datenschutzangaben  des Messenger-Dienstes hervor. Neben Ihrer Telefonnummer, die Sie zur Registrierung der App verwendet haben, gibt WhatsApp auch Ihre Gerätekennung, Betriebssystemversion, App-Version, Plattforminformation, Ländervorwahl der Mobilnummer, bei welchem Mobilfunkanbieter Sie sind und Markierungen, mit denen die App-Betreiber Ihre Zustimmungen zu Aktualisierungen und Steuerungsoptionen nachverfolgen, weiter.

 

Auch die Daten zum Nutzungsverhalten, wann Sie die App das letzte mal verwendet haben, wann Sie sich registriert haben sowie die Art und Häufigkeit der Nutzung stehen ab sofort Facebook zur Verfügung.

 

Die Daten wertet Facebook angeblich nicht aus, um Facebook-Produkte zu verbessern oder personalisierte Werbeanzeigen zu gestalten, sondern um die Nutzung von WhatsApp zu analysieren.

 

Die Weitergabe der Daten betrifft dabei alle WhatsApp-Nutzer, auch diejenigen, die keinen Facebook-Account besitzen.

 

Ob die Datenweitergabe rechtens ist, entscheidet außerdem nicht mehr das Gericht in Deutschland, sondern muss aufgrund der DSGVO auf europäischer Ebene entschieden werden. Zuständig für Facebook ist demnach die irische Datenschutzbehörde.

 

Eine Weitergabe der Nutzerdaten von WhatsApp an Facebook findet also statt, was für viele Datenschützer besorgniserregend ist. Was genau mit Ihren Daten bei WhatsApp passiert und vor allem wie sich die Datenerfassung und -auswertung zukünftig in Hinblick auf die Weitergabe der Daten an den Mutterkonzern gestaltet, ist für Sie nur schwer einsehbar. Es gibt Alternativen, die deutlich transparenter sind.

 

WhatsApp als Alternative zur E-Mail?

Um die eingangs gestellte Frage zu beantworten: Nachrichten in den Chats von WhatsApp sind Ende-zu-Ende-verschlüsselt und somit sicher – verschlüsselte E-Mails der Verschlüsselungsstandards PGP und S/Mime sind das nicht mehr.

 

Aus Datenschutzgründen sollte WhatsApp aber definitiv keine Alternative für Ihre Unternehmenskommunikation sein. Sie sollten nämlich nicht nur auf die Ende-zu-Ende-Verschlüsselung bei Messengern achten, sondern auch auf den rechtskonformen Datenschutz.

Fazit:

Ihre Chat-Inhalte sind bei WhatsApp Ende-zu-Ende-verschlüsselt und grundsätzlich gut geschützt, der Datenschutz ist bei dem Messenger-Dienst aber äußerst kritisch. Wie sich WhatsApp im Zuge der DSGVO weiter schlagen wird, bleibt – insbesondere mit Blick auf die Verzahnung von WhatsApp mit Facebook und dem derzeitigen Datenaustausch der beiden Unternehmen sowie das Abgleichen des Adressbuchs der Nutzer – fraglich. In seiner jetzigen Form ist die Nutzung des Messenger-Dienstes ohne schriftliche Einwilligung aller Betroffenen für die Unternehmenskommunikation nicht rechtens.

 

Wer seine Kommunikation im Unternehmen sicher und DSGVO-konform gestalten möchte, sollte sowohl intern als auch extern auf WhatsApp verzichten. Besser sind transparente Dienste wie UWORK.X.

 

UWORK.X ist ein Ende-zu-Ende-verschlüsseltes Kommunikationstool, das vollständig den Anforderungen der DSGVO entspricht. Testen Sie das Programm jetzt 30 Tage kostenlos!