24.01.2020    Hilka H. Jeworrek

DSGVO

Whatsapp nicht zulässig auf Diensthandys

Whatsapp ist nach aktuellem Stand nicht DSGVO-konform und dürfte demnach nicht mehr auf Diensthandys und anderen dienstlich genutzten Endgeräten verwendet werden. Dennoch ist die Messenger-Kommunikation unter Kollegen sehr beliebt. Eine Alternative könnte die App Signal bieten.

Seit der Übernahme des beliebten Messenger-Dienstes Whatsapp durch den Facebook-Konzern im Jahre 2014, werden wiederholt Bedenken hinsichtlich der Datensicherheit bei der Nutzung der App laut. Diese machen den Anschein, zumindest in Teilen durchaus berechtigt zu sein. Zum Beispiel hieß es vor der Übernahme des Dienstes durch das Zuckerberg-Imperium, dass es keinen Austausch der Nutzerdaten mit Facebook geben würde. Nun beginnt der Konzern nach und nach mit der Verschmelzung seiner Plattformen und im Whatsapp-Status soll bald auch Werbung angezeigt werden. Ebenfalls soll nicht klar sein, ob die Ende-zu-Ende-Verschlüsselung bei der Datenübertragung im Messenger wirklich korrekt vorgenommen wurde. Denn nach wie vor kann der Anbieter einsehen, wer wann wo und mit wem gechattet hat.

Doch es gibt Alternativen. Häufig angeführt werden zum Beispiel das von den russischen Brüdern Pavel und Nikolai Durov entwickelte Telegram oder das schweizerische Threema. Beide bieten wie Whatsapp Ende-zu-Ende-Verschlüsselung. Telegram bietet diese jedoch nur in der Secret Chats-Funktion, bei der die Verläufe lokal auf dem Gerät abgelegt werden. Zusätzlich gibt es einen cloudbasierten Service. Dabei werden Nachrichten mit einer Server-Client-Verschlüsselung verschleiert. Also beim Versand vom Sender an den Server und anschließend vom Server an den Empfänger verschlüsselt. Auf dem Server selbst könnten die Betreiber allerdings auf Chats zugreifen und sie einsehen. Beachtet werden muss auch, dass bei der Neuvergabe der Telefonnummer eines Nutzers, der neue Besitzer auch unwillentlich Zugang zu dessen Telegram-Account inklusive aller Cloud-Chats erhalten kann, wenn ersterer nicht die neue Telefonnummer bereits hinterlegt haben sollte.

Open Source für mehr Transparenz

Das kostenpflichtige Threema bietet deutlich mehr Verschlüsselung, sogar ohne eine Handynummer zur Registrierung zu benötigen. Daten werden nach der Übertragung automatisch vom Server gelöscht. Weiterhin werden Kontakte aus dem Telefonbuch nur anonymisiert an den Server gesendet, was die App datenschutzrechtlich für dienstlich genutzte Geräte zulässig macht. Auch bei Metadaten verhält sich Threema vorbildlich. Der Messenger speichert im Gegensatz zu Whatsapp keine personen-, orts- oder zeitbezogenen Informationen zu Chatverläufen. Beiden Anbietern ist jedoch gemeinsam, dass sie keine 100-prozentige Transparenz hinsichtlich des Quellcodes bieten. Die Inhaber von Threema begründen dies damit, dass sie ihr Geschäftsmodell vor kostenfreien Nachahmerversionen schützen möchten und deshalb nur Teile des Codes veröffentlichen. Die Nutzer müssen den Aussagen vertrauen, dass die Betreiber beider Apps keine Hintertürchen in die Software einbauen.

Zumindest beim rein spendenfinanzierten Wettbewerber Signal sieht dies anders aus. Der Code der Software von Open Whisper Systems kann öffentlich eingesehen werden und ist ähnlich wie bei Threema darauf ausgelegt, möglichst wenige Daten der Nutzer abzufragen oder zu speichern. Weiterhin wird mit verschiedenen Verschlüsselungssystemen sichergestellt, dass keine Dritten Zugriff auf versendete Nachrichten erhalten können. Durch die Anfrage eines U.S.-Gerichtes wurde dies bereits 2016 bestätigt, wie die New York Times schreibt. Die Behörden wollten die Daten von zwei mutmaßlichen Nutzern abfragen. Neben Namen, IP-Adressen und der kompletten Account-Historie verlangten die Ermittler zudem möglicherweise vorliegende Bezahlinformationen sowie über Cookie verknüpfte weitere Online-Accounts. Open Whisper Systems folgte der gerichtlichen Anfrage, konnte aus den gespeicherten Informationen aber lediglich zwei der geforderten Punkte auslesen: der Zeitpunkt, zu dem der Account angelegt wurde und wann dieser sich zuletzt mit den Signal-Servern verbunden hatte.

Darum ist Signal DSGVO-konform

Die Open Source-Software von Signal wird von Datenschutzorganisationen wie der Electronic Frontier Foundation (EFF) und der IT-Sicherheitssparte von Amnesty International gelobt. Aber auch Whistleblower Edward Snowden oder Matt Green, von der Johns Hopkins University beschreiben Signal als sichersten Messenger. Doch was macht die Anwendung im Vergleich zum beliebten Whatsapp konform mit der Datenschutzgrundverordnung (DSGVO) im beruflichen Kontext? Die Nutzung von Messengern im Rahmen der beruflichen Tätigkeit, ist den Regeln zur Datenverarbeitung unterworfen. Diese sind in Hinblick auf die personenbezogenen Daten, zu denen auch Telefonnummern gehören, durch die DSGVO deutlich verschärft worden. Der Artikel 28 DSGVO regelt genau, unter welchen Bedingungen Daten an Dritte weitergegeben dürfen. Dazu gehören etwa das Einholen einer jederzeit widerufbaren Einwillungserklärung der Dateninhaber sowie ein Vertrag mit dem Dienst.

Whatsapp erfragt beim Nutzer nach der Installation und Anmeldung die Freigabe für dessen Kontakte. Nach der Erteilung gleicht die Anwendung, die auf dem Smartphone gespeicherten Nummern mit denen ab, die auf den Unternehmensservern abgelegt sind. Allerdings ist es nicht möglich, die Nummern zu differenzieren. Es werden alle Einträge des Adressbuches ausgelesen. Die App hat auch Zugriff auf Nummern, deren Inhaber Whatsapp nicht nutzen. Ebenfalls gibt der Anbieter die Daten an Dritte weiter. Auf europäischer Ebene ist aber durch Artikel 6 der DSGVO eine Weitergabe von Daten an Dritte ohne Einwilligung verboten. Eine Nutzung des Dienstes ist damit, sofern keine schriftliche Einverständniserklärung der Datenweiterweitergabe durch Whatsapp mit den Geschäftspartnern sowie ein Vertrag mit der Whatsapp Inc. besteht, nicht zulässig.

Auch bei Signal wird im Anmeldeprozess zur Kontoerstellung eine Telefonnummer abgefragt. Diese wird jedoch erstens nicht gespeichert, sondern dient im Verifizierungsprozess des Gerätes zum Erstellen des Sicherheitsschlüssels für die Ende-zu-Ende-Verschlüsselung und zweitens nur als Hash übertragen. Die gleiche Vorgehensweise kommt auch beim Abgleich mit dem Adressbuch des Nutzers zur Anwendung. Damit entspricht dies den Erfordernissen für datenschutzkonformen Umgang personenbezogener Daten. Die Anforderungen der DSGVO an den Datenschutz beziehen sich auch bei der Messenger-Nutzung nach wie vor allein auf den geschäftlichen Bereich. Die rein private Nutzung ist von den Regelungen nicht betroffen.

Ist der Dienst für die meisten Nutzer geeignet?

Signal deckt alle Grundvoraussetzungen ab, die ein Messenger bieten sollte. Dazu gehören das Versenden von Text- und Sprachnachrichten, Fotos, Videos und GIFs. Weiterhin können verschlüsselte Gruppen-Chats erstellt, Telefonate und Video-Anrufe getätigt werden. Verfügbar ist der Dienst für iOS und Android sowie als Desktop-Anwendung nach vorheriger Registrierung auf dem Smartphone für Mac, Windows und sogar Linux. Bestätigt wird die Nutzung des Messengers für Desktop über das Abscannen von generierten QR-Codes. Weiterhin besteht die Möglichkeit, sich selbstzerstörende Nachrichten zu verschicken. Fans von Stickern und animierten Emojis werden allerdings nicht auf ihre Kosten kommen. Weiterhin bietet die App keine Statusleiste. Dennoch erstellen sich mehr und mehr User einen Account – dem Konzern zufolge waren es im August 2019 rund 10 Millionen Anwender.


So wirkt es seltsam, dass es Abgeordneten im Oktober des selben Jahres im EU-Parlament in Brüssel verwehrt wurde, die App auf ihren dienstlich genutzten Geräte zu installieren, wie es aus einem Bericht von Netzpolitik.org hervor geht. Zwei Abgeordnete der Links-Fraktion hätten dies für sich und ihre Büromitarbeiter angefragt. Mit dem Verweis auf Sicherheitsaspekte lehnte der IT-Support die Bitte ab. Dazu hieße es, dass Signal eben keine Standardsoftware im Europäischen Parlament sei und nicht installiert werden könne, solange der Sicherheitsdienst und das Standardkonfigurationsteam diese nicht getestet und zugelassen hätte. Die Empfehlung sei gewesen, Whatsapp zu benutzen, das ebenfalls eine Ende-zu-Ende-sichere Kommunikation innerhalb und außerhalb des Parlamentes erlaube.

Vor dem Hintergrund, dass Whatsapp nach derzeitigem Stand in Teilen klar gegen die Datenschutzgrundverordnung verstößt und die Nutzung im privatwirtschaftlichen Sektor folglich Abmahnungen und Strafen begründen kann, mögen die Empfehlungen der Brüsseler Sicherheitsexperten an die Abgeordneten fragwürdig wirken.

24.01.2020    Hilka H. Jeworrek
Zur Startseite