Verfasst von:
Veröffentlicht am:
4.3.2021

WhatsApp - im Datenschutz-Focus

Bei den betroffenen Daten handelt es sich um allgemeine Informationen über die Aktivität der Nutzer betreffend der Dauer und der Länge der Kommunikation. Ebenso können Informationen zum Smartphone-Modell, dem Akkustand, der Signalstärke und der IP-Adresse erhoben werden. Zweck der Verwendung dieser Daten durch Facebook ist zum derzeitigen Zeitpunkt die Weitergabe der Daten an Werbekunden.

Nach massiver Kritik ist WhatsApp um eine Klarstellung im Blick auf die neuen Geschäftsbedingungen, um Transparenz für seine Nutzer zu gewährleisten, sehr bemüht und vom Verbleib zu überzeugen.

WhatsApp will deutlich herausstellen, dass die Aktualisierung der Richtlinie absolut keine Auswirkungen auf die bereits seit 2016 angebotene Ende-zu-Ende verschlüsselte Kommunikation hat, die einen großen Beitrag für eine sichere und digitale Kommunikation leiste.

Die aktuelle Entwicklung ruft uns ein altes Problem ins Gedächtnis. In vielen deutschen Unternehmen wird die Nutzung von WhatsApp mehr oder weniger geduldet, in einigen strikt verboten.

Der global äußerst beliebte Messenger WhatsApp zählt mit seinen mehr als zwei Milliarden Nutzern zu den erfolgreichsten Kommunikationsdiensten. Viele Unternehmen nutzen, wenn, dann die Consumer-Variante von WhatsApp zur Kommunikation. Durch die Einführung einer neuen Datenschutzrichtlinie stehen jede Menge Unklarheiten und Missverständnisse im Raum. Ein Grund, weshalb in den vergangenen Wochen die WhatsApp-Rivalen wie Telegramm, Signal oder Threema einen starken Zulauf gemeldet haben.

Für Nutzer innerhalb der EU gelten aus rechtlichen Gründen andere Regeln als für WhatsApp-Benutzer im Rest der Welt. Hintergrund ist, dass die EU-Kommission einen solchen Datenaustausch zwischen Facebook und WhatsApp bereits 2014 bei der Übernahme untersagt hat und seitdem streng überwacht.

Ein weiterer wichtiger Grund, warum sich die Europaregelungen des Chatdienstes unterscheiden, sind die generellen strikteren Datenschutzbestimmungen, die in der Europäischen Datenschutzgrundverordnung (DS-GVO) festgehalten werden. Dank dieser darf WhatsApp persönliche Nutzerdaten nicht ohne sogenannte Opt-out-Funktion weitergeben.

WhatsApp Business

Die zentrale Idee des Facebook-Unternehmens ist es, dass der Chatdienst WhatsApp ein entscheidender Kanal für die Kommunikation zwischen Unternehmen und Ihren Kunden werden soll. Bei der WhatsApp Business Variante betrachtet sich WhatsApp als Auftragsverarbeiter nach Art. 28 DS-GVO und stelle auch einen entsprechenden Vertrag zur Verfügung, der jedoch sehr lückenhaft daherkommt.

WhatsApp-Sicherheitstipps

Viele Standardeinstellungen entsprechen nicht dem Optimum bei Privatsphäre und Datenschutz-freundlicher Voreinstellung. Im Hintergrund pumpt der Kommunikationsdienst nämlich alle Informationen wie „Lesebestätigung“, der „Zuletzt online“ Stempel oder das Profilbild unverschlüsselt an die Cloud. Hauptproblem ist und bleibt aber die Synchronisation des lokalen Adressbuchs. Denn durch den automatischen Upload werden auch Kontaktdaten von Nicht-WhatsApp-Nutzern synchronisiert.

Datenauswertung ist das Geschäftsmodell dieser App. Wir zeigen, welche Sicherheitsvorkehrungen Sie ergreifen können, um WhatsApp sicherer und möglichst datensparsam zu nutzen. WhatsApp erlaubt nämlich die ein oder andere Justierung bei der Sicherheit. Folgende Sicherheitstipps sind empfehlenswert:

Geteilte Informationen:

Öffnet man wieder „Account“ in den WhatsApp-Einstellungen, kann man festlegen, wer welche Informationen über einen selbst einsehen kann. Zum Beispiel wann genau man online ist, oder auch wer das Profilbild sehen kann. Hierbei kann man nur auf die eigenen „Kontakte“ eingrenzen, oder auch „Niemand“ einstellen. Zu vermeiden ist auf jeden Fall die Einstellung „Jeder“. Es gibt aber auch die Funktion „Meine Kontakte außer“, bei der man bestimmte Leute aus den Kontakten von Informationen „ausschließen“ kann. Beim „Status“ lässt sich „Teilen nur mit“ auswählen, wobei man einfach keinen Kontakt angeben kann. Live-Standorte können dort auch geprüft und abgestellt werden.

Lesebestätigungen:

Viele Nutzer finden Lesebestätigungen praktisch, andere wiederum fühlen sich dadurch beobachtet oder unter Druck gesetzt. Um die Bestätigungen auszuschalten, muss man auf eine eigene Einstellung unter „Datenschutz“ gehen. Die Funktion wird dann aber in beide Richtungen abgeklemmt.

Bildschirmsperre:

Es ist außerdem ratsam, eine Bildschirmsperre bei WhatsApp einzustellen. Diese sollte sich vorzugsweise „Sofort“ einschalten, sobald man nicht mehr aktiv in der App ist.

Chats ohne gespeicherte Kontakte:

Auf WhatsApp lässt sich nicht nur mit gespeicherten Kontakten schreiben. Wer den Zugriff auf die Kontakte des Smartphones verhindert, sieht nur noch die Mobil-Nummer des Chatpartners. Somit wird die Übertragung der gespeicherten Kontaktdaten zumindest teilweise eingeschränkt.

Vorsicht bei Backups:

Backups von Chats lassen sich via WhatsApp bei Apple oder Google in deren Clouds ablegen. Komfortabel ist das, etwa für einen Umzug zu einem neuen Handy. Doch der Haken ist, dass dann die Ende-zu-Ende-Verschlüsselung von WhatsApp nicht mehr greift. Die Daten wandern erstmal unverschlüsselt in die Cloud und werden erst auf den Servern der Anbieter verschlüsselt.

Entzug von Zugriffsrechten:

Standort, Fotos, Mikrofon: WhatsApp fragt zahlreiche Zugriffsrechte an. Sie können in den Einstellungen Ihres Handys Zugriffsrechte entziehen oder erteilen. Beachten sollten Sie aber, dass Sie, wenn Sie für mehr Datenschutz Zugriffsrechte entziehen, gewisse Features nicht mehr funktionieren. Wenn Sie dem Messenger den Zugriff auf das Mikrofon entziehen, sind zum Beispiel keine Sprachnachrichten mehr möglich.

Sicherheitsmitteilungen:

In den WhatsApp-Einstellungen im Bereich „Account“ gibt es das Untermenü „Sicherheit", doch da findet sich gerade mal eine Einstellung. Aktivieren Sie „Sicherheitsmitteilungen anzeigen“, dann werden Sie informiert, wenn Kontakte WhatsApp neu installiert haben oder sich die Rufnummer geändert hat. Ziel der Übung ist es, durch die Nachricht dafür sensibilisiert zu werden, dass sich die Verschlüsselung geändert hat. Denkbar wäre es, dass Unbefugte das WhatsApp-Konto des Kontakts übernommen haben. Sie können den Kontakt auf anderen Wegen, etwa per Mail oder Anruf, fragen, ob er oder sie ein neues Handy hat.

Verifizieren per QR-Code:

Trifft man sich im wirklichen Leben mit einem WhatsApp-Kontakt, was durchaus vorkommen kann, dann kann man einen WhatsApp-Chat per QR-Code verifizieren. Das klappt über den Chat durch Tippen auf den Kontaktnamen. Dann dort in den Kontaktinfos auf „Verschlüsselung“ tippen und den QR-Code vom anderen Handy abscannen.

Kontosicherheit:

In den WhatsApp-Einstellungen im Bereich „Account“ können Sie die „Verifizierung in zwei Schritten" einschalten. Damit schützen Sie das WhatsApp-Konto durch eine sechsstellige PIN.

Trennung von Kontakten via EMM-Lösung bzw. Container-App:

Am Markt existieren zahlreiche Lösungen, um die WhatsApp Datenkrake vom Rest des Smartphones abzuschirmen und einen ungehinderten Zugriff auf alle Kontakte zu verhindern. Neue Lösungen wie z.B. ContactGuard stecken noch in der Entwicklung.

Datenschutzrechtliche Einwilligung:

Theoretisch kann man auch mit einer Einwilligung der Kontaktpartner arbeiten. Ob das praktikabel ist, sei dahingestellt.

Handlungsempfehlungen beim Einsatz am Unternehmenshandy:

  • Zugriff auf Kontakte beschränken
  • WhatsApp für Business (AV)
  • Trennung von Privatem und Geschäftlichem
  • Backup abschalten
  • Datenschutzeinstellungen prüfen

Fazit:

Weder WhatsApp noch die WhatsApp Business App bieten derzeit einen 100 % DSGVO-konformen Einsatz im Unternehmen. Für eine dienstliche Kommunikation unter den Mitarbeitern oder mit Kunden ist die Business-App genauso wenig datenschutzkonform wie das klassische WhatsApp. Doch mit Einschränkungen und den hier aufgezeigten Möglichkeiten kann die WhatsApp Business App vielleicht mit vertretbarem Risiko für die Kundenkommunikation genutzt werden. Am Ende muss das „Restrisiko“ jede verantwortliche Stelle selbst tragen.

Zurück zur Übersicht