WhatsApp & Datenschutz – Das sollten Nutzer & Unternehmen wissen

„Deine Nachrichten sind deine und wir können sie nicht lesen“ – so steht es in den rechtlichen Hinweisen von WhatsApp. Als Nutzer mag man sich aufgrund der in diesem Jahr eingeführten Ende-zu-Ende-Verschlüsselung in Sicherheit wägen. Wenn wirklich nur derjenige meine Nachrichten lesen kann, für den sie bestimmt sind, sind datenschutzrechtliche Bedenken – wenn überhaupt jemals vorhanden – passé. Zusätzlich hat man den neuen AGB ja sicherlich widersprochen, sodass keine Daten an Facebook weitergeleitet werden. WhatsApp also bedenkenlos nutzen?

Ganz so einfach ist es leider nicht. „Kostenlos“ bekommt man bekanntlich nichts. Deshalb musste Facebook auch 19 Milliarden Dollar auf den Tisch legen, um WhatsApp zu kaufen. Ein recht stolzer Preis für den Zugang zu „unbrauchbaren“ weil verschlüsselten Nutzerdaten. Dass die Sache einen Haken hat, erschließt sich eigentlich schon bei Gebrauch des gesunden Menschenverstandes. Dennoch wollen wir die neuen AGB mal etwas genauer unter die Lupe nehmen:

Verschlüsselung von WhatsApp-Daten

Ja, die Nachrichteninhalte sind verschlüsselt. Dass man deswegen völlig sorgenfrei drauflostippen könnte, trifft jedoch nicht zu. Erstens greift die Verschlüsselung nur, wenn alle Beteiligten, also auch jeder Nutzer in einem Gruppenchat, eine Versionen der App, die nach dem 02.04.2016 veröffentlicht wurde, nutzen. Zweitens besteht rein technisch durchaus die Möglichkeit, dass Elemente unverschlüsselt übertragen werden: WhatsApp ist nicht open source, das heißt, die Software kann wissentlich oder versehentlich lückenhaft programmiert sein. Nun ist WhatsApps Versprechen, dass „weder wir noch Dritte“ die Nachrichten lesen können, schon eine sehr eindeutige Zusage. Ein Verstoß hiergegen würde erhebliche Reputationsschäden verursachen. Insoweit möchte man keine absichtlich eingebauten Lücken unterstellen. Wer sich aber auf die Verschlüsselung verlassen möchte oder muss, ist darauf angewiesen, WhatsApp ein gutes Stück Vertrauen entgegenzubringen.

Rechte an den Inhalten

Bringt man dieses Vertrauen auf und geht davon aus, dass die Verschlüsselung zuverlässig funktioniert, stellt sich die Frage, warum sich WhatsApp dann in den AGB eine „weltweite, nicht-exklusive, gebührenfreie, unterlizenzierbare und übertragbare Lizenz zur Nutzung, Reproduktion, Verbreitung, Erstellung abgeleiteter Werke, Darstellung und Aufführung der Informationen (einschließlich der Inhalte), die du auf bzw. über unsere/n Dienste/n hochlädst, übermittelst, speicherst, sendest oder empfängst“ einräumt. Werden also die Nachrichten und Bilder doch irgendwie „abgegriffen“?

Zwar kursierten in der Vergangenheit Meldungen, wonach jegliche (Bild)Rechte an WhatsApp abgetreten werden. Diese bezogen sich aber schon unter der inzwischen veralteten Datenschutzrichtlinie lediglich auf das Profilbild, bzw. Statusmeldungen. In Bezug auf diese wird tatsächlich eine weitreichende Lizenz an WhatsApp erteilt. In der Tat lässt sich darüber streiten, ob zu diesem Zweck eine derartig ausufernde Lizenz erforderlich ist. Dennoch sind die entsprechenden Meldungen wohl in erster Linie auf eine gewisse Sensationshascherei zurückzuführen, da es sich, wie gesagt, „nur“ um die Profilbilder handelte, bei denen sich jedem Nutzer unmittelbar erschließt, dass diese öffentlich einsehbar sind.

In den aktuellen Nutzungsbedingungen ist nunmehr ausdrücklich klargestellt: „WhatsApp beansprucht nicht das Eigentum an den Informationen, die du für deinen WhatsApp-Account oder über unsere Dienste übermittelst“. Daneben beschränkt sich die Lizenz die der Nutzer WhatsApp erteilt „auf den Zweck, unsere Dienste zu betreiben und bereitzustellen“.

Unterm Strich bleibt somit – in Bezug auf Nachrichteninhalte – in der Tat eine etwas merkwürdige Kombination aus einer dem Wortlaut nach sehr weitreichenden Lizenzeinräumung auf der einen Seite, die andererseits jedoch auf die Zweckbindung der Nutzung und deren Verschlüsselung trifft. Nach dem Text der Nutzungsbedingungen würde man WhatsApp damit in erster Linie die Rechte an den Statusmeldungen und Profilbildern zum Zwecke des Betriebes des Dienstes übertragen. An privaten Inhalten stünde WhatsApp lediglich das Recht zu, diese zum Zweck der Übertragung (und in für WhatsApp nicht lesbarer Form) zu speichern.

WhatsApp und Facebook wollen Metadaten und Cookies

Was bleibt also noch übrig? „Sonstiges“ bleibt übrig!

Der Begriff, der unscheinbar daher kommt, betrifft in erster Linie die Punkte, die in der Datenschutzrichtlinie als „automatisch gesammelte Informationen“ bezeichnet sind, also etwa Metadaten und Cookies.

Und damit kommt man zu dem Punkt, um den es bei der ganzen Sache eigentlich geht: Weder Facebook noch WhatsApp interessieren sich für die Details von Lenas Liebeskummer, die Schmuddelbildchen, die Max an Monia schickt oder sonstige Nachrichteninhalte. Viel wertvoller sind die Daten, die im Hintergrund generiert werden, die Metadaten. Der Hunger nach Metadaten erklärt übrigens – wer sich die Frage schon einmal gestellt haben sollte – wozu WhatsApp so viele Berechtigungen braucht.

Wozu die Daten genutzt werden liest man unter dem Abschnitt „Neue Möglichkeiten, WhatsApp zu verwenden“. Dort heißt es: „Wir möchten Möglichkeiten erkunden, wie du und Firmen über WhatsApp miteinander kommunizieren können … Nachrichten, die du erhältst, die Marketing enthalten, könnten Angebote zu etwas enthalten, das dich interessiert.“ Es soll also nutzerbezogene Werbung ermöglicht werden, die allerdings nicht in Form von Werbebannern, sondern direkten Nachrichten stattfinden soll. Und für eben solche Werbung bedarf es gar keiner Kenntnis konkreter Inhalte: Aus den Metadaten geht hervor, wer wann mit wem und ggf. von wo aus kommuniziert – gepaart mit den aus Facebook zur Verfügung stehenden Daten. So können – man trägt das Handy ja immer bei sich – aussagekräftige Bewegungsprofile erstellt werden. Wollen Sie nicht mal in den Klamottenladen gehen, an dem Sie ohnehin jeden Tag auf dem Weg zur Arbeit vorbeikommen? Über die Adressbuchdaten kann festgestellt werden, welche Beziehungen wer zu wem unterhält. Wenn drei Ihrer Freunde, mit denen sie schon öfter gemeinsam in der netten Eckkneipe waren, andere Läden besuchen, dürften diese doch auch interessant für Sie ein? Schließleich gibt es dort auch dieses Craft-Beer der kleinen Brauerei, die sie neulich geliked haben.

Um es anders auszudrücken: Verwertet werden genau jene Daten, über die sich der Nutzer, der sich aufgrund der Verschlüsselung in Sicherheit wägt, keine Gedanken macht. Oder, noch deutlicher: Der Nutzer wird unbewusst zur Ware, die Facebook an seine Werbepartner verkauft.

Zwar ist der Austausch der Daten zeitweise ausgesetzt. Nach den Nutzungsbedingungen ist er aber immer noch möglich. Das ist in etwa so, als würden Sie einem Wildfremden Ihre Kreditkarte geben, weil dieser beteuert, er werde sie nicht benutzen – vorerst.

Datenschutzstandard der USA wird „akzeptiert“

Wie kann man sich dagegen schützen? Jedenfalls nicht mit dem Bundesdatenschutzgesetz. Das verdanken wir der Passage „Du erkennst an, dass die Gesetze, Vorschriften und Standards des Landes, in dem deine Informationen gespeichert oder verarbeitet werden, von denen deines eigenen Landes abweichen können“.

Daraus folgt zwar genau genommen nicht, dass man auf das deutsche Datenschutzniveau ausdrücklich verzichtet. Würde WhatsApp Server in Deutschland betreiben, dürfte man dem Wortlaut nach wohl von deutschen Datenschutzstandards ausgehen. Praktisch kommt die Sache einem Verzicht aber sehr nahe: Da WhatsApp seine Geschäfte vorrangig vom Ausland aus betreibt – die Server stehen nach eigenen Angaben in den USA – kommt es dazu, dass auch der dortige Datenschutzstandard als akzeptiert gilt (Apropos Datenschutz in den USA: Erinnern Sie sich noch an die drei Freunde aus der Eckkneipe? Verschiedene US-Behörden dank des Patriot-Act, der den Zugriff auf die Unternehmensdaten ohne richterlichen Beschluss erlaubt, ebenfalls!)

Dem kann man zwar entgegenhalten, dass der Verzicht nach § 307 I BGB iVm. § 6 I BDSG unwirksam sein dürfte, da dem Nutzer praktisch die durch das Bundesdatenschutzgesetz eingeräumten Möglichkeiten der Berichtigung, Löschung oder Sperrung seiner persönlichen Daten genommen werden.

Damit kommt man dann aber zur praktisch schwierigsten Frage an der ganzen Sache: Sind derartige Einwände durchsetzbar? WhatsApp hat in Deutschland bzw. der EU keine Niederlassung. Somit ist der Zugriff durch die Justiz – anders als bei Google und Facebook, die über Niederlassungen in der EU verfügen – erheblich erschwert. Auch, dass es sich bei WhatsApp um ein Tochterunternehmen von Facebook handelt, ändert nichts an dessen rechtlicher Selbständigkeit.

Nutzern, die auf das deutsche Datenschutzniveau nicht verzichten wollen, kann daher nur empfohlen werden, von der Nutzung von WhatsApp abzusehen.

Unternehmen sollten auf den Einsatz von WhatsApp verzichten

Nach all den Erkenntnissen kann Unternehmen nur dringend davon abgeraten werden, WhatsApp im geschäftlichen Bereich einzusetzen, da sie sich im Zweifel haftbar machen, wenn es zu Datenpannen und Verstößen kommen wird. Und sie werden kommen.

Autoren: Ref. Iur Wolf und RA Gulden

Übermittlung Ihrer Stimme...

Bewertungen: 4.8 von 5. 4 Stimme(n). Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.

Rechtsanwalt Karsten Gulden,
Fachanwalt für Urheber-und Medienrecht

Rechtsanwalt Gulden ist Gründer und Gesellschafter von gulden röttger | rechtsanwälte, Fachanwalt für Urheber- und Medienrecht seit 2009, Wahlfachprüfer beim Justizministerium Mainz/Rheinland-Pfalz, Blogger und YouTuber sowie Bergsportler in nahezu allen Varianten

Facebook | Google+ | Twitter

Kanzlei gulden röttger | rechtsanwälte
Jean-Pierre-Jungels-Str. 10
55126 Mainz

+496131240950

karsten.gulden@ggr-law.com