Von wegen sicher! Die neueste Datenschutz-Abmahnung einer irischen Behörde gegen WhatsApp zeigt, dass der Messenger-Service nicht nur mit den Daten seiner eigenen User nicht sehr transparent ist. Doch offenbar speichert WhatsApp doch Daten von Menschen, die den Dienst gar nicht nutzen – ohne deren Wissen, auf unbestimmte Zeit und mangelhaft verschlüsselt.
Wer WhatsApp mit dem Schutz seiner persönlichen Daten nicht traut, muss den Dienst nicht nutzen. Schließlich gibt es genug Alternativen. Doch wie die neueste Datenschutz-Abmahnung des Messengerdienstes zeigt: Selbst als Nicht-Nutzer:in landen deine Daten ohne dein Wissen und ohne deine Einwilligung bei WhatsApp. Und nicht nur das.
Das Unternehmen speichert die Telefonnummern von Nicht-Usern (!) in einer speziellen Liste auf unbestimmte Zeit. Die Technologie, die WhatsApp zudem nutzt, um deine Daten auf dieser Liste zu verschlüsseln, ist so niedrigschwellig, dass es ein Leichtes für WhatsApp wäre, deine Telefonnummer herauszufinden.
DSGVO-Verstoß: WhatsApp soll 225 Millionen Euro zahlen
Damit verstößt WhatsApp möglicherweise gegen die Europäische Datenschutzgrundverordnung (DSGVO) und hat somit jahrelang womöglich unerlaubt persönliche Daten gesammelt und gespeichert. Das offenbart die neueste Datenschutz-Abmahnung gegen WhatsApp.
Darin hat die irische Datenschutzbehörde DPC WhatsApp zu einer Strafe von 225 Millionen Euro verdonnert. Die Behörde begründete dies unter anderem damit, dass die Facebook-Tochter ihrer Ansicht nach in mehreren Punkten gegen die DSGVO verstoße.
Dabei ging es zum einen darum, dass WhatsApp seinen Nutzer:innen nicht detailliert und verständlich genug erkläre, welche persönlichen Daten zu welchen Zwecken, in welcher Form gespeichert und (unter anderem an Mutterkonzern Facebook) weitergeleitet werden.
Doch darüber hinaus störte sich die Behörde an einer weiteren Praxis des Messenger-Dienstes: der Kontaktabgleichung der App. Und diese geht viel weiter als bislang bekannt.
Fragwürdiger Kontaktabgleich
Wenn du dich bei WhatsApp anmeldest, findet eine Synchronisierung mit deiner Kontaktliste statt. So will WhatsApp herausfinden, welcher deiner Kontakte ebenfalls bei WhatsApp angemeldet ist, und dir das entsprechend direkt anzeigen.
Das macht es einfach sich auf WhatsApp zu vernetzen, erfordert aber den Zugriff von WhatsApp auf deine Kontakte. Du stimmst dem zu, wenn du dich für den Messenger-Dienst anmeldest. Nur: Deine Kontakte tun dies nicht, es sei denn sie nutzen ebenfalls WhatsApp.
Doch um zu ermitteln, wer bei WhatsApp angemeldet ist und wer nicht, muss der Dienst sämtliche deiner Kontaktnummern verarbeiten, auch die Telefonnummern von Nutzer:innen, die WhatsApp nicht nutzen. Diese haben dem entsprechend nie zugestimmt und wissen auch nichts davon.
Das ist datenschutzrechtlich problematisch, weshalb auch viele Unternehmen darum die Nutzung des Dienstes im Geschäftsbereich verbieten.
Genau diesen Kontaktabgleich haben verschiedene europäische Datenschutzbehörden gegenüber der DPC als Verstoß gegen die DSGVO angebracht. Dabei geht der Eingriff des Messengers in deine persönlichen Daten offenbar noch weiter als bisher bekannt.
WhatsApp speichert Daten deiner Kontakte also doch
Bislang hat WhatsApp nämlich stets versichert, diese Nummern aus deiner Kontaktliste würden nicht gespeichert. So heißt es vom Unternehmen:
Wir speichern diese Telefonnummern nicht und verarbeiten sie nur für kurze Zeit, um kryptografische Hash-Werte zu erstellen, mit denen wir effizienter eine Verbindung zwischen dir und diesen Kontakten herstellen können, wenn diese WhatsApp beitreten.
Wie das DPC-Dokument aber offenbart, stimmt das nicht ganz und WhatsApp speichere demnach sehr wohl diese Kontaktnummern.
Dazu nutzt WhatsApp angeblich auch eine sehr seltsame Praxis: Die Nummern von Personen, die der Dienst als Nicht-User identifiziert, werden auf einer speziellen „Non-User-Liste“ gespeichert, und zwar auf „unbegrenzte“ Zeit, wie es in dem DPC-Dokument heißt. Es ist unklar, ob WhatsApp diese Liste jemals löscht.
Wozu muss WhatsApp dies tun? Unklar. Gibt der Messenger-Dienst diese an Facebook weiter? Wer weiß! Verstößt dies gegen die DSGVO? Nach Ansicht der DPC, ja!
Nicht-User Daten dürftig verschlüsselt
Diese Liste an Telefonnummern liegt WhatsApp natürlich nicht unverschlüsselt vor. Die Informationen der Nicht-User wird vorab über ein Hashing-Verfahren verschlüsselt. Darüber werden die Nummern in einen Code verpackt und entfremdet. Damit seien die Daten der Nicht-Nutzer:innen geschützt, sagt das Unternehmen.
Wenn einer deiner Kontakte unsere Dienste noch nicht nutzt, verwalten wir diese Information für dich in einer Weise, mit der sichergestellt wird, dass dieser Kontakt nicht von uns identifiziert werden kann.
Doch offenbar ist dieses Verfahren weniger sicher als WhatsApp es bislang dargestellt habe. Denn WhatsApp nutzt lediglich einen 39-Bit-Hashwert, um die Nummern zu verdecken. Dieser Hashwert entspricht maximal 16 anderen Telefonnummern, die WhatsApp bekannt sind, sowohl von Nutzer:innen als auch von Nicht-Nutzer:innen.
Sprich: Ein Hashwert lässt sich nicht einer Nummer eindeutig zuordnen, sondern 16 Telefonnummern. Im Höchstfall. Oftmals sind es aber weniger Nummern. Das ist nicht sehr sicher, sagen Expert:innen. Und genau das mache es extrem einfach für WhatsApp, im Rückschlussverfahren die Nummern von Nicht-Usern mit denen von Usern abzugleichen und über ein Ausschlussverfahren wieder zu entpacken.
WhatsApp speichert Daten und findet das unproblematisch
WhatsApp wiederum rechtfertigt sich gegenüber der DPC und ist der Ansicht, dass die Hashing-Praxis unproblematisch sei. Schließlich sei die Idee, dass jemand die Hashwerte entpacke und die Nummern abgreife, nur theoretischer Natur. Praktisch tue das niemand bei WhatsApp. Damit seien die privaten Nummern geschützt.
Und weil diese Nummern per Hashwert pseudonymisiert würden, handele es sich dabei auch nicht um persönliche Daten. Doch die irische Datenschutzbehörde ist anderer Meinung. Und nur weil jemand die Telefonnummer-Liste von WhatsApp noch nicht missbraucht hat, heißt das noch lange nicht, dass es nicht doch möglich ist.
Mal abgesehen davon, dass WhatsApp seinen Nutzer:innen eine Sache zusichert und dann möglicherweise etwas anderes in der Praxis tut, was höchstwahrscheinlich gegen den Datenschutz verstößt.
Auf Nachfrage von BASIC thinking sagte WhatsApp, dass das Unternehmen dafür arbeite, um sicherzustellen, dass die Informationen, die das Unternehmen biete, transparent und verständlich seien.
Wir sind mit der Entscheidung in Bezug auf die Transparenz, die wir Menschen 2018 angeboten haben, nicht einverstanden und die Strafen sind völlig unverhältnismäßig.
WhatsApp hat gegen die Strafe Berufung eingelegt. Doch sollte die Entscheidung so bestehen bleiben, muss WhatsApp zeitnah seine Methoden ändern. Immerhin: Wer WhatsApp selbst nutzt, kann die Praxis des Kontaktabgleichs schon jetzt einschränken und in seinen Einstellung der App den Zugriff auf seine Kontaktliste verbieten.
Die Erklärungen der DPC beziehen sich im Übrigen ausschließlich auf den allgemeinen Dienst von WhatsApp, nicht auf Business WhatsApp.
Auch interessant:
