WhatsApp & Datenschutz

„Deine Nachrichten sind deine und wir können sie nicht lesen“ – so steht es in den rechtlichen Hinweisen von WhatsApp. Als Nutzer mag man sich aufgrund der in diesem Jahr eingeführten Ende-zu-Ende-Verschlüsselung in Sicherheit wägen. Wenn wirklich nur derjenige meine Nachrichten lesen kann, für den sie bestimmt sind, sind datenschutzrechtliche Bedenken – wenn überhaupt jemals vorhanden – passé. Zusätzlich hat man den neuen AGB ja sicherlich widersprochen, sodass keine Daten an Facebook weitergeleitet werden. WhatsApp also bedenkenlos nutzen?

Ganz so einfach ist es leider nicht. „Kostenlos“ bekommt man bekanntlich nichts. Deshalb musste Facebook auch 19 Milliarden Dollar auf den Tisch legen, um WhatsApp zu kaufen. Ein recht stolzer Preis für den Zugang zu „unbrauchbaren“ weil verschlüsselten Nutzerdaten. Dass die Sache einen Haken hat, erschließt sich eigentlich schon bei Gebrauch des gesunden Menschenverstandes. Dennoch wollen wir die neuen AGB mal etwas genauer unter die Lupe nehmen:

Verschlüsselung von WhatsApp-Daten
Ja, die Nachrichteninhalte sind verschlüsselt. Dass man deswegen völlig sorgenfrei drauflostippen könnte, trifft jedoch nicht zu. Erstens greift die Verschlüsselung nur, wenn alle Beteiligten, also auch jeder Nutzer in einem Gruppenchat, eine Versionen der App, die nach dem 02.04.2016 veröffentlicht wurde, nutzen. Zweitens besteht rein technisch durchaus die Möglichkeit, dass Elemente unverschlüsselt übertragen werden: WhatsApp ist nicht open source, das heißt, die Software kann wissentlich oder versehentlich lückenhaft programmiert sein. Nun ist WhatsApps Versprechen, dass „weder wir noch Dritte“ die Nachrichten lesen können, schon eine sehr eindeutige Zusage. Ein Verstoß hiergegen würde erhebliche Reputationsschäden verursachen. Insoweit möchte man keine absichtlich eingebauten Lücken unterstellen. Wer sich aber auf die Verschlüsselung verlassen möchte oder muss, ist darauf angewiesen, WhatsApp ein gutes Stück Vertrauen entgegenzubringen.

Wie kann man sich dagegen schützen? Jedenfalls nicht mit dem Bundesdatenschutzgesetz. Das verdanken wir der Passage „Du erkennst an, dass die Gesetze, Vorschriften und Standards des Landes, in dem deine Informationen gespeichert oder verarbeitet werden, von denen deines eigenen Landes abweichen können“.

Daraus folgt zwar genau genommen nicht, dass man auf das deutsche Datenschutzniveau ausdrücklich verzichtet. Würde WhatsApp Server in Deutschland betreiben, dürfte man dem Wortlaut nach wohl von deutschen Datenschutzstandards ausgehen. Praktisch kommt die Sache einem Verzicht aber sehr nahe: Da WhatsApp seine Geschäfte vorrangig vom Ausland aus betreibt – die Server stehen nach eigenen Angaben in den USA – kommt es dazu, dass auch der dortige Datenschutzstandard als akzeptiert gilt (Apropos Datenschutz in den USA: Erinnern Sie sich noch an die drei Freunde aus der Eckkneipe? Verschiedene US-Behörden dank des Patriot-Act, der den Zugriff auf die Unternehmensdaten ohne richterlichen Beschluss erlaubt, ebenfalls!)

Dem kann man zwar entgegenhalten, dass der Verzicht nach § 307 I BGB iVm. § 6 I BDSG unwirksam sein dürfte, da dem Nutzer praktisch die durch das Bundesdatenschutzgesetz eingeräumten Möglichkeiten der Berichtigung, Löschung oder Sperrung seiner persönlichen Daten genommen werden.

Damit kommt man dann aber zur praktisch schwierigsten Frage an der ganzen Sache: Sind derartige Einwände durchsetzbar? WhatsApp hat in Deutschland bzw. der EU keine Niederlassung. Somit ist der Zugriff durch die Justiz – anders als bei Google und Facebook, die über Niederlassungen in der EU verfügen – erheblich erschwert. Auch, dass es sich bei WhatsApp um ein Tochterunternehmen von Facebook handelt, ändert nichts an dessen rechtlicher Selbständigkeit.

Nutzern, die auf das deutsche Datenschutzniveau nicht verzichten wollen, kann daher nur empfohlen werden, von der Nutzung von WhatsApp abzusehen.

Nach all den Erkenntnissen kann Unternehmen nur dringend davon abgeraten werden, WhatsApp im geschäftlichen Bereich einzusetzen, da sie sich im Zweifel haftbar machen, wenn es zu Datenpannen und Verstößen kommen wird. Und sie werden kommen.