WhatsApp und die DSGVO, oder: “Warum WhatsApp bald untragbar wird”

Ab dem 25.5.18 tritt hierzulande die DSGVO in Kraft, die u.a. die Anwender von Endgeräten und Apps stärker in die Pflicht nimmt – vor allem, wenn sich bei ihnen Privates und Geschäftliches nicht hundertprozentig voneinander trennen lassen. Neu ist das alles nicht, aber das Herannahen des Termins, ab dem u.U. hohe Strafen fällig werden können, sorgt gerade besonders unter Unternehmern, Selbständigen und Freiberuflern für erhebliche Unruhe. Ein so pikantes wie bisher verdrängtes Thema sind dabei Messenger-Apps wie WhatsApp, um die es in diesem Beitrag gehen soll.

Wie ist die Rechtslage?

Lt. DSGVO hat ab Mai u.a. jeder das Recht,

  1. genau zu erfahren, welche Daten er einem bestimmten Dienst übermittelt hat („Datennachweis“)
  2. alle diese Daten auf Wunsch vollständig löschen zu lassen („Recht auf Vergessen“)
  3. volle Kontrolle darüber zu behalten, wer in den Besitz seiner Daten und Kontaktinformationen gelangt

[1] und [2] hat man selber in der Hand, indem man bewusst rechtskonforme Dienste und Apps nutzt oder alternativ einem Dienst gegenüber ausdrücklich auf dieses Recht verzichtet; einen solchen Verzicht findet man oft in den entsprechenden Vertragsbedingungen. [3] bedeutet, dass man die Daten Anderer weder auf Nicht-EU-Servern speichern, noch unbefugt weitergeben darf.

Was ist das Problem mit WhatsApp?

Derzeit hat WhatsApp zwar eine neue Funktion in Arbeit, die [1] gewährleistet: man wird rechtzeitig zum Stichtag eine entsprechende Anfrage stellen und in 20-30 Tagen eine Auflistung erhalten können. Zu [2] ist aber derzeit noch nichts vorgesehen – und selbst wenn so etwas kommt, muss man gewillt sein, auf das vollständige Löschen von den US-Servern von FaceBook (denen WhatsApp gehört) zu vertrauen.

[3] ist der eigentliche Pferdefuß. WhatsApp übermittelt nämlich ungefragt das komplette Adressbuch zu FaceBook. Also auch die Kontaktdaten von der Oma, Kollegen, Kunden und Freunden. Diejenigen davon, die WhatsApp nutzen, haben zwar ihre eigenen Kontaktdaten bereits absichtlich heraus gegeben und dürfen nicht meckern – aber all die anderen, die das nicht tun, können einen künftig verklagen. Wenn man ein Voll- oder Halbprofi ist, kann das sehr teuer werden (bis zu 2Mio.€ oder 4% des Jahresumsatzes).

Es ist unwahrscheinlich, dass WhatsApp/FaceBook dies ändert, denn das Sammeln dieser „Metadaten“ (wer kennt wen und kommuniziert mit wem?) – nicht, das ist einer der großen Irrtümer, die Nachrichteninhalte selber – ist deren eigentliches Milliardengeschäft.

Warum interessiert das nicht viel mehr Leute?

Kurz gesagt:

  • weil sie gar nicht wissen, was WhatsApp so alles treibt
  • weil sie mit der Verletzung von [3] nicht sich selber, sondern anderen schaden
  • weil ihnen der Schutz der eigenen Kontaktdaten nicht besonders viel bedeutet (immerhin haben sie ihn ja selber durch die Wahl von WhatsApp freiwillig für einen bequemen und kostenlosen Service hergeschenkt) – und sie das automatisch auch von allen anderen annehmen
  • und weil sie dabei bisher weder erwischt noch bestraft werden

Letzteres wird sich im Mai 2018 aber ändern. Jedenfalls für jeden, der sich nicht auf totale private Nutzung seines Handys berufen kann. Und mal ehrlich: die Rechte Anderer zu verletzen ist einfach nicht in Ordnung, ganz egal ob man dabei erwischt wird oder nicht.

Ist das nicht reichlich abstrakt?

Nein, es wird bisher nur nicht Klartext darüber gesprochen. Im Kern bedeutet die Benutzung von WhatsApp, dass man anderen ohne deren Wissen was stiehlt (nämlich ihre Kontakt- und Metadaten, die wir nur bekommen haben, um sie z.B. finden oder anrufen zu können) und das seinem Hehler (FaceBook) im Tausch gegen einen bequemen und kostenlosen Nachrichtendienst gibt.

Würde es statt etwas nur schwer Greifbarem wie Daten um, sagen wir mal, Geldscheine gehen, wäre allen klar, dass ein solches Handeln weder berechtigt ist, noch auf lange Sicht straffrei zu bleiben hat.

Was bedeutet „rein private Nutzung“?

Eben nicht, dass das Handy vom Arbeitgeber stammt oder von der Steuer abgesetzt wird – sondern dass sich darauf ausschließlich Adressdaten und Telefonnummern von Leuten befinden, mit denen man in keinerlei beruflicher Beziehung steht. Also nicht der Chef, kein Kollege, kein Anwalt, Kunde, Mandant oder Patient. Damit sind die allermeisten Handys eben doch nicht so „privat“ wie mancher glaubt …

Aber selbst wenn man ein Handy – so unwahrscheinlich das wie gesagt ist – tatsächlich rein privat nutzen würde, ist nicht alles in Butter: zwar kann man dann eine Klage abwehren, aber deshalb hat man mit Hilfe seines WhatsApp-Messengers immer noch Datenklau von anderen betrieben und sich damit grundsätzlich falsch verhalten.

Gibt es denn überhaupt Kläger (und können die mir was nachweisen)?

Die Oma, deren Telefonnummer jetzt ungewollt bei FaceBook gelandet ist, wird einen eher nicht vor den Kadi zerren. Das übernehmen dann Verbraucherschutzverbände und Abmahnvereine/-anwälte – erinnert sich eigentlich noch wer daran, wie aufwändig, kreativ und skrupellos letztere seinerzeit hinter Raubkopierern selbst im Teenageralter her waren?

Die haben damals schon Millionen mit Abmahnungen und Unterlassungserklärungen gemacht, das war deren Lebensunterhalt – und im Vergleich dazu ist der Nachweis eines Abmahngrunds diesmal geradezu lächerlich einfach: da reicht nämlich irgendeine nach dem Stichtag verfasste WhatsApp vom Beklagten plus irgendeine Kopie des Adressbuchs, welches irgendeine andere „harmlose“ App, ein Spiel oder so, schon längst vorsorglich abgegriffen hat. Glaubt mir, die scharren, Dollarzeichen in den Augen, schon ungeduldig mit den Hufen…

Muss ich mich denn mit diesem technischen Kram befassen?

Ja, das ist eben nicht bloß was für Nerds. So, wie sich die Medien langsam des Themas annehmen, wird man sich auch nicht mehr allzu lange auf Unwissenheit rausreden können. Ist es nicht eh schon komisch, wie viele Leute schon Wochen vorm Erscheinen des neuesten XYZ-Handys dessen Features herunterbeten können, aber beim Thema Datenschutz plötzlich wieder „bloß einfacher Anwender“ sein wollen?

Unwissenheit schützt vor Strafe nicht – wir sind nur sehr lange damit durchgekommen, weil Telekommunikationsbranche und Industrie jahrelang bloß Millionen Handys in den Markt drücken wollten, ohne die Masse mit sperrigen Themen zu belasten. Jetzt holt uns das halt ein – so wie mit dem Diesel, von dessen Dreck auch Jahrzehnte lang einfach keiner was wissen wollte, so lange man bloß billig damit rumfahren kann. Jetzt ist das Geschrei aber groß – und im Fall Handys/Apps hat uns nicht mal wer angelogen, wir wollten einfach bloß keine unbequemen Wahrheiten hören.

Da sieht man’s mal wieder: f**k EU!

Ich erwähne das, weil der Spruch die spontane Reaktion eines Kumpels in dieser Diskussion war. Angebracht ist er nicht: vielmehr gehen die Amis seit jeher mit unseren Daten (einschließlich so komischer Sachen wie Brief- oder Bankgeheimnis) völlig skrupel- und rücksichtslos um und rechtfertigen das sogar noch in aller Offenheit damit, dass wir hier ja eh nur ein rückständiger Haufen von Weichlingen seien. Neu ist, dass die EU aufgewacht ist und endlich ihre Bürger – also uns – vor diesen Datenkolossen zu schützen versucht. Wenn überhaupt, sollte es also „f**k FaceBook/WhatsApp“ heißen.

Was habe ich denn nun für Optionen?

Die einfachste und sicherste: schmeißt die nicht zertifizierten Messenger, vor allem die mit Servern bei den Amis oder Russen (WhatsApp, FaceBook, Telegram…), von den Handys!

Verwendet lieber sichere Messenger, und bringt auch Eure Freunde dazu. Threema zum Beispiel kostet einmalig ca. 3 Oiros, kann alles, was WhatsApp kann (ist auch genauso bequem),  und unterliegt sauberem Schweizer Datenschutzrecht (auch die Daten landen in der Schweiz, und es kann völlig anonym benutzt werden). Es gibt auch noch andere, aber die sind teurer und nicht so verbreitet.

Wenn Ihr unbedingt weiter WhatsApp verwenden zu müssen glaubt, zum Beispiel weil man mit vielen Freunden im Nicht-EU-Ausland kommuniziert, die “umsonst” mehr als “Datenschutz” interessiert: redet mal mit denen. Wenn man ihnen klar macht, dass ihre Bequemlichkeit Euch in die Bredouille bringt und man mit sehr wenig Aufwand aus der Nummer heraus käme, zeigen sich erstaunlich viele einsichtig. Erklärt es mit Hilfe dieses Beitrags (ich stelle ihn in Kürze auch in anderen Sprachen bereit), dann verstehen es auch Nichtinformatiker. Und wenn ihnen Eure Sorgen und Daten nicht mal dieses bißchen Aufwand und Zuhören wert sind – sind es dann wirklich Freunde?

Falls es tatsächlich beides – also EU-Rechtssicherheit (oder auch bloß fairer Umgang mit Eurer Kumpel Daten) und WhatsApp – sein muss: kauft Euch ein Samsung Galaxy 7 oder neuer (das ist freilich der teuerste Ausweg) und installiert WhatsApp dort in den sogenannten „Secure Folder“. Der hat sein eigenes Adressbuch, in das Ihr dann tatsächlich nur die Leute hinein kopiert, die auch WhatsApp nutzen und deshalb kein Datenschutzproblem darstellen. Alle anderen sieht WhatsApp dann nicht und kann ihre Daten somit auch nicht illegal weiter geben. Leider können das bisher keine anderen Hersteller/Modelle, und man muss sich auch ein wenig in diesen Trick einarbeiten.

Nur eines ist keine Option: Augen zu und weiter wie bisher. Das ging bisher gut und hat ja auch nur anderen (ein wenig) geschadet – aber damit ist bald Schluß. Am 25.5.2018 ticken die Uhren in der EU anders.