Sicherheit

Durchgelesen: Die Whatsapp-Nutzungsbedingungen im Datenschutz-Check

durchgelesen
geschrieben von Ekki Kern

Mal ehrlich: Wer liest schon AGB? Oder Datenschutzhinweise? Oder sonstiges Kleingedrucktes? Und auf der anderen Seite: Wer hat deswegen kein schlechtes Gewissen? In „Durchgelesen“ nehmen wir uns die Allgemeinen Geschäftbedingungen, Nutzungsvereinbarungen und Datenschutzhinweise von bekannten Online-Diensten vor, überprüfen sie auf kritische Passagen und fassen sie verständlich zusammen. Diesmal: WhatsApp. // von Ekki Kern

Es hat lange gedauert, bis ich mich vor einigen Jahren entschlossen hatte, WhatsApp zu nutzen. Zu sehr war ich um die Sicherheit meiner persönlichen Daten besorgt, zu sehr um die Privatheit meiner Kommunikation mit Freunden.

Irgendwann dann jedoch erging es mir wie wohl den meisten Menschen: Die große Masse der Freunde und Bekannten nutzte WhatsApp, schon allein deshalb, weil viele Android-Handys haben und somit den Apple-eigenen Dienst iMessage nicht nutzen können. Die SMS hatte damals schon weitgehend ausgedient.

Was über die Jahre passierte, wissen wir alle: WhatsApp hat sich zu dem Kommunikationskanal fürs schnelle Quasseln entwickelt, kaum ein Smartphone kommt ohne den Dienst aus. Was wir auch wissen: Facebook hat WhatsApp für nicht weniger als 19 Milliarden US-Dollar gekauft. Das war im Februar 2014.

„Terms of Service“ und „Privacy Notice“ durchgearbeitet

Nicht zuletzt deswegen muss man wohl weiterhin um die Sicherheit seiner persönlichen Daten Angst haben. Ich habe mir also die sogenannten „Terms of Service“ und die „Privacy Notice“ von WhatsApp durchgelesen. Mit einem für mich überraschenden Ergebnis.

In den “Terms of Service” heißt es zunächst:

In order to access and use the features of the Service, you acknowledge and agree that you will have to provide WhatsApp with your mobile phone number. You expressly acknowledge and agree that in order to provide the Service, WhatsApp may periodically access your contact list and/or address book on your mobile device to find and keep track of mobile phone numbers of other users of the Service.

Hierzu muss man wissen: Wer sich bei WhatsApp anmeldet, sucht sich keinen Nutzernamen, sondern registriert seine Handynummer im System. Um mit anderen Nutzern des Diensts chatten zu können, werden deren (ebenfalls bei Whatsapp registrierten) Nummern in der eigenen WhatsApp-Kontakte-Liste aufgeführt. Diese Übersicht hält der Dienst “periodisch”, wie es heißt, aktuell, indem er das Adressbuch des Smartphones regelmäßig durchscannt.

Adressen werden nicht gespeichert

Hierzu heißt es weiter:

We do not collect names, addresses or email addresses, just mobile phone numbers.

Es werden also angeblich nur Handynummern gesammelt, nicht jedoch Namen, Postadressen oder E-Mail-Adressen. Die Zuordnung der im Smartphone-Adressbuch gelisteten Namen zu den Nummern findet ausschließlich auf dem Gerät des Nutzers statt, wie es weiter hinten heißt.

Immer wieder diskutiert wird auch die Frage, welche der auf WhatsApp von mir als Nutzer preisgegebenen Informationen denn nun weltweit sichtbar sind. Auch hierzu gibt es eine Passage in den “Terms of Service”:

For clarity, direct messages, location data and photos or files that you send directly to other WhatsApp users will only be viewable by those WhatsApp user(s) or group(s) you directly send such information; but Status Submissions may be globally viewed by WhatsApp users that have your mobile phone number on their smartphone, unless the user is blocked by you.

Vorsicht mit den Statusmitteilungen!

Global sichtbar für jedermann, der meine Handynummer in seinem Smartphone-Telefonbuch führt, ist also mein sogenannter Status. Das ist jene Textzeile, die in der Whatsapp-Kontaktliste unter einem Namen steht und beliebig mit Emoticons angereichert werden kann. Standardmäßig heißt es hier “Hey there! I am using WhatsApp.”. Diesen Status kann jedoch jeder Nutzer selbst beliebig anpassen. Die einzige Möglichkeit, jemanden davon abzuhalten, diesen Status zu lesen, ist das Blocken der jeweiligen Person.

Was nun kann WhatsApp selbst mit dieser Status-Mitteilung machen? Antwort: alles. Ein extra Absatz erklärt ausführlich:

However, by submitting the Status Submissions to WhatsApp, you hereby grant WhatsApp a worldwide, non-exclusive, royalty-free, sublicenseable and transferable license to use, reproduce, distribute, prepare derivative works of, display, and perform the Status Submissions in connection with the WhatsApp Service and WhatsApp’s (and its successor’s) business, including without limitation for promoting and redistributing part or all of the WhatsApp Service (and derivative works thereof) in any media formats and through any media channels. You also hereby grant each subscriber to your status on the WhatsApp Service a non-exclusive license to access your Status Submissions through the Service. The foregoing license granted by you terminates once you remove or delete a Status Submission from the WhatsApp Service.

Die Status-Mitteilungen können also von WhatsApp in jeder erdenklichen Form genutzt, weiterverarbeitet und dargestellt werden. Im Zweifelsfall sollte man also wohl nichts allzu Privates in seine Statusmeldung schreiben.

Auf Direktnachrichten, also den persönlichen Chat zwischen zwei oder mehr Personen, können laut WhatsApp hingegen Dritte nicht zugreifen, was natürlich nicht sonderlich verwundert, aber an dieser Stelle trotzdem erwähnt werden soll. Gut zu wissen ist auch, dass Informationen zum aktuellen Aufenthaltsort sowie Fotos und andere Daten nicht von Dritten eingesehen werden können.

Personen unter 16 müssen raus

Hinreichend bekannt dürfte die Tatsache sein, dass WhatsApp Personen unter 16 Jahren von der Nutzung seines Dienstes ausschließt:

In any case, you affirm that you are at least 16 years old as the WhatsApp Service is not intended for children under 16. If you are under 16 years of age, you are not permitted to use the WhatsApp Service.

Direkt auf die “Terms of Service” folgt die “Privacy Notice”. Bereits am Anfang ein wesentlicher Hinweis, der vor allem juristisch relevant sein dürfte:

Please note that any Status Submissions or other content posted at the direction or discretion of users of the WhatsApp Service becomes published content and is not considered personally identifiable information subject to this Privacy Policy.

Die Statusmeldungen und “andere Inhalte, die für andere Nutzer des WhatsApp-Service gepostet werden, werden also zu sogenanntem veröffentlichten Inhalt. Und dieser wird dann auch nicht als „personenbezogene Information“ gewertet. “Veröffentlicht” heißt: für jedermann einsehbar und der persönlichen privaten Kommunikation somit entzogen.

Und passiert mit den Namen aus meinem Kontaktverzeichnis und den Telefonnummern, die WhatsApp ja regelmäßig (s. oben) ausliest? Offensichtlich kann man sich hier über verhältnismäßig gute Nachrichten freuen:

WhatsApp does not collect names, emails, addresses or other contact information from its users’ mobile address book or contact lists other than mobile phone numbers—the WhatsApp mobile application will associate whatever name the WhatsApp user has assigned to the mobile telephone number in his/her mobile address book or contact list — and this occurs dynamically on the mobile device itself and not on WhatsApp’s servers and is not transmitted to WhatsApp.

WhatsApp sammelt demnach angeblich weder Namen, E-Mail-Adressen, Postadressen noch irgendwelche sonstigen Kontaktinformationen. Die Zuweisung eines Namens zu einer Telefonnummer erfolge nicht etwa durch den WhatsApp-Service, sondern ausschließlich auf dem Endgerät des Nutzers. WhatsApp dürfte somit keine Möglichkeit haben, die Nummern den Namen real existierender Menschen zuzuordnen.

Standortdaten werden nicht gesammelt

Weiter heißt es:

We do not collect location data, but users may voluntarily share their location with other users via the WhatsApp Service.

Es werden also angeblich auch keine Standortdaten gesammelt, wobei Nutzer ihren aktuellen Aufenthaltsort mit anderen Nutzern teilen können, wenn sie das möchten.

Und was passiert mit den Inhalten meiner Chats? Auch hier kann man offensichtlich erleichtert und überrascht sein. Denn sie sollen “weder kopiert, behalten oder archiviert” werden. Der Zusatz „in the normal course of business“ spielt wohl auf die Herausgabe der Daten an Ermittlungsbehörden an:

The contents of messages that have been delivered by the WhatsApp Service are not copied, kept or archived by WhatsApp in the normal course of business.

Wenn eine Nachricht innerhalb von 30 Tagen nicht zugestellt werden kann, werde sie von den WhatsApp-Servern gelöscht, heißt es weiter:

If the message is undelivered for thirty (30) days, the undelivered message is deleted from our servers.

Zugestellte Nachricht wird nicht gespeichert

Interessant ist auch, dass jede zugestellte Nachricht (sobald zwei Haken hinter der Nachricht zu sehen sind) angeblich nicht länger auf dem Server von WhatsApp gespeichert wird:

Once a message has been delivered, it no longer resides on our servers. The contents of any delivered messages are not kept or retained by WhatsApp — the only records of the content of any delivered messages reside directly on the sender’s and recipient’s mobile devices (and which may be deleted at the user’s option).

Kurz darauf jedoch heißt es, dass WhatsApp Datum und Uhrzeit von erfolgreich zugestellten Nachrichten sowie die an der Kommunikation beteiligten Handynummern “aufbewahren könnte”, ebenso wie “jede andere Information, die WhatsApp aus gesetzlichen Gründen gezwungen ist zu sammeln”. Hier bleibt natürlich jede Menge Platz für Spekulationen:

Notwithstanding the above, WhatsApp may retain date and time stamp information associated with successfully delivered messages and the mobile phone numbers involved in the messages, as well as any other information which WhatsApp is legally compelled to collect.

Bilder und Videos werden „für kurze Zeit“ gespeichert

Daten wie Bilder, Audios oder Videos bleiben laut der “Privacy Notice” nach Zustellung auf das Zielhandy “für kurze Zeit” auf den Servern, werden aber “nach kurzer Zeit” von jeder “zur Identifizierung geeigneten Information gelöst” und dann “gelöscht” – mit der Einschränkung, dass dies auch nur dann geschehe, wenn dieser Schritt “mit unseren allgemeinen Verfahren der Speicherung” vereinbar ist:

Files that are sent through the WhatsApp Service will reside on our servers after delivery for a short period of time, but are deleted and stripped of any identifiable information within a short period of time in accordance with our general retention policies.

Auch hier ist natürlich wieder Spielraum für Spekulationen.

Wie auch die Statusmeldung ist der sogenannte “Last Seen”-Status für all jene Personen sichtbar, die meine Nummer in ihrem Adressbuch haben und die ich nicht aktiv geblockt habe:

“Last Seen” information is available and displayed to each user who has your mobile phone number in their mobile phone address book or contact book (and which you have not blocked),

Das hier angegebene Datum und die Uhrzeit sollen Aufschluss darüber geben, wann ein Nutzer die WhatsApp-App zum letzten Mal genutzt hat.

Die Sache mit den persönlichen Daten

Was persönliche Daten angeht, so gibt WhatsApp an, sie nicht an Dritte weiterzugeben, wenn es um kommerzielle Nutzung derselben oder Marketingzwecke geht:

We do not sell or share your Personally Identifiable Information (such as mobile phone number) with other third-party companies for their commercial or marketing use without your consent or except as part of a specific program or feature for which you will have the ability to opt-in or opt-out.

Gleich danach heißt es jedoch, man “könnte” diese Daten mit Dritten “teilen”, wenn es “nach bestem Dafürhalten nötig ist”, um den Service von WhatsApp durchzuführen und zu verbessern:

We may share your Personally Identifiable Information with third party service providers to the extent that it is reasonably necessary to perform, improve or maintain the WhatsApp Service.

Auch wenn es um gesetzliche Regelungen geht, reicht allein der “gute Glaube”, dass eine Speicherung sinnvoll sein könnte, um persönlichen Daten zu sammeln:

We may collect and release Personally Identifiable Information and/or non-personally-identifiable information if required to do so by law, or in the good-faith belief that such action is necessary to comply with state and federal laws (such as U.S. Copyright Law), international law or respond to a court order, subpoena, or search warrant or equivalent, or where in our reasonable belief, an individual’s physical safety may be at risk or threatened.

Sollte man als Nutzer mit auch nur einer dieser Regelungen nicht einverstanden sein, möge man seinen Account löschen, sagt WhatsApp:

If you do not agree with our Privacy Policy or Terms of Service, please delete your account, uninstall the WhatsApp mobile application and discontinue use of the WhatsApp Service; your continued usage of the WhatsApp Service will signify your assent to and acceptance of our Privacy Policy and Terms of Service.

WhatsApp soll werbefrei bleiben

Was Werbung angeht, so hat man offensichtlich eine klar Haltung: Man sei angeblich “kein Fan von Werbung” und hoffe, die Werbefreiheit in der App “für immer” beizubehalten:

We are not fans of advertising. WhatsApp is currently ad-free and we hope to keep it that way forever. We have no intention to introduce advertisement into the product, but if we ever do, will update this section.

Ob ich WhatsApp nach meinem Studium der AGB nun lieber nutze? Naja, es ist eben einfach praktisch und wird von den meisten Menschen mittlerweile genutzt. Von der Veröffentlichung von Statusmeldungen werde ich nach meiner kleinen Lektüre weiterhin absehen, alles andere (Versenden von Nachrichten und Bildern) wird wohl ebenfalls wie bisher gehandhabt.

Dass ich mich mit der Nutzung von Whatsapp den Regeln US-amerikanischen Rechts aussetze und Deutschland und seine (Datenschutz-)Standards weit hinter mir lasse… Dramatisch ist das, aber eben auch unserer modernen Smartphone-Welt geschuldet, bei der Praktikabilität über allem steht. Natürlich auch über Datenschutz. Auch in Deutschland.


Vernetze dich mit uns!

Like uns auf Facebook oder folge uns bei Twitter


Über den Autor

Ekki Kern

Ekki ist Medienjournalist und probiert Technologien gerne aus, entdeckt dabei aber nicht selten die Vorzüge des Analogen. Diskutieren über das alles kann man mit ihm ganz hervorragend, für die Zeitung schreibt er über Medien und Verbraucherthemen, privat für seinen Watchblog Radiowatcher.

12 Kommentare

  • Danke für das Durchlesen und erklären der AGB.
    Jetzt habe ich ein deutlich besseres Gefühl wenn mein Sohn mit WhatsApp rumdaddelt 😉

    Ich werde aber wohl trotzdem lieber bei Kontalk bleiben.
    Der ist OpenSource. Also deutlich weniger Fragezeichen als bei WhatsApp 😀

  • Sensationell diese Naivität, oder Kalkül, oder … ?? Erinnert mich an diese Bundesregierung und an Pofalla !!!
    WhatsApp ist nicht sicher und alles was der einzelne versendet eben auch nicht, basta !!

  • Jeder der Whatsapp nutzt sollte dies aber bewusst sein. Ich für meinen Teil nutze es für datenschutzunkritische Dinge, daher kann ich damit leben.

  • Super-Idee für diese neue Rubrik. Danke, dass ihr euch die Mühe macht. Denn kaum ein einzelner dürfte sich das tatsächlich durchlesen. Da ist eure „Kommentierung“ und das Herausstellen der wichtigsten Punkte Gold Wert.

    • Eben….. das sehe ich genauso.
      Wo ist der Nutzen? Wir leben in einer kommerziellen Welt.
      Was in den AGB´s steht muss ja nicht gelebt werden. Siehe VW.

  • Man hört und sieht ja immer mehr Unternehmen, die „hip“ sein wollen und WhatsApp-Nummern als Kontaktmöglickeiten anbieten. Das ist zwar im Kern eine gut gemeinte Sache, aber aus mehrfacher Sicht problematisch: 1. Die kommerzielle Nutzung ist nicht erlaubt laut Nutzungsbedingungen, 2. Personenbezogene Daten der Anfrager (Kunden/Interessenten) müssen geltendem Datenschutz folgen. Das ist im Zusammenhang mit WhatsApp sehr riskant und das kürzlich getroffene Urteil des EuGH zum „Safe Harbor“-Abkommen hat den Anbietern jegliche rechtliche Grundlage entzogen, Daten von EU-Bürgen in andere Länder zu übermitteln. Ich bin sehr gespannt, wie sich die Unternehmen jetzt verhalten werden. Gleichzeitig könnte Kundendialog per Messenger viel Sinn machen – dafür sollte man aber auf die richtigen Tools setzen.

  • Es sind viele junge Frauen die angeben 18 zu sein sind aber 12 – 15 Jahren alt solche jungen Mädchen müsste man sperren selbst ich als Nutzer von waplog bin sehr enttäuscht das die macher von waplog nicht darauf achten

  • Ich nutze WhatsApp nicht, da dies eh meine Daten verkauft.
    Eine bessere Alternative währe der Open-Source Messenger „Telegram“,
    welches eine End-To-End Verschlüsselung anbietet, super schnell ist und einen sehr freundlichen Support hat.
    Das Projekt ist Opensource basierend und bietet viele neue Features an.
    Mittlerweile kopiert WhatsApp diese Features
    (Bald wird ein End-To-End Feature kommen.)

  • Gelten überhaupt die Englisch-sprachigen AGB’s in Deutschland ? Was ist wenn einer das nicht vom sprachlichen her verstehen KANN ? AGBS müssen soviel ich weiß klar und verständlich sein

  • Also ich nutze diese Datenkrake nicht.
    Klar wird alles gespeichert.
    Und der Inhalt der Chats ist nicht so wichtig
    wie die META-Daten (wer, wann, von wo, mit wem).
    Daraus kann man ein super Bewegungsprofil erstellen.
    Meine Empfehlung: Threema!!!
    Braucht nicht zwingend ne Handynummer, ist wirklich
    sicher verschlüsselt und die Server stehen in der Schweiz (hohe
    Datenschutzbestimmungen) und nicht bei CIA, NSA und FBI.
    Kostet einmalig 2,49.
    Das sollte jedem sein Datenschutz wert sein.
    Und was sind 2,49???
    Wenn ich zum Essen war und gut war, geb ich das
    als Trinkgeld und es tut auch nicht weh.
    Also: Was soll der Geiz an falscher Stelle?????

Kommentieren