WhatsApp – die neuen Regelungen 2021

WhatsApp made by FacebookZum 8. Februar 2021 ändert WhatsApp seine Nutzungs­bedin­gungen und die Daten­schutz­richt­linie.

Welche Neuerungen damit im Detail verbun­den sind, lässt sich nicht abschlie­ßend beur­teilen. Auf den ein­schlä­gi­gen Web­seiten des Unter­nehmens herrscht derzeit noch wildes Durch­einander von Links auf bisherige und neue Bestim­mungen. So landet man nach dem Klicken mal auf den alten Rege­lungen von 2018, mal auf Versi­onen mit neue­rem Datum aus dem Januar 2021. Da muss wohl erst noch kräftig aufge­räumt werden, bevor ein einheit­liches Bild ensteht.
Ich beziehe mich hier einmal auf die neuste Fassung der Daten­schutz­richt­linie (Quelle 1) für Europa (Quelle 2).

Interessant ist übrigens, dass die neuen Rege­lungen nicht als durch die Nutzer still­schweigend akzep­tiert gelten. Viel­mehr müssen alle Benut­zer von Whats­App in einem Pop-up-Fenster der App den Bedin­gungen und Richt­linien expli­zit zustimmen. Wer diese willent­liche Zustim­mung bis zum 8. Februar nicht erteilt, kann Whats­App nicht mehr verwenden!
[Nachtrag 18.02.2021] Termin für die Zwangs­zustim­mung wurde auf den 15. Mai 2021 verscho­ben. Ob mas­sive Abwan­derun­gen zu ande­ren Messen­gern die Ursa­che dafür sind?

Warum ist die aktive Zustimmung so wichtig?

WhatsApp lässt sich mit dem Klick auf „Zustimmen“ eine daten­schutz­recht­lich wirk­same Einwil­ligung zur Verar­beitung personen­bezogener Daten erteilen. (Die kann man zwar später auch wider­rufen. Doch wo und wie man den Wider­spruch einlegt, wird nicht sofort ersicht­lich. Vermut­lich muss man sich dazu an den Support wenden.)

Erst mit dieser Einwil­ligung darf Whats­App die erho­benen Nutzer­daten für alle in der Daten­schutz­richt­linie beschrie­benen Zwecke verwenden.

Detail am Rande: Whats­App bezieht sich nun auf die Standard­daten­schutz­klau­seln der EU-Kommission (Muster­verträge, in denen sich die Auftrags­verar­beiter, also hier Whats­App und Facebook, zur Ein­hal­tung eines ange­messe­nen Daten­schutz­niveaus ver­pflich­ten). Diese Stan­dard­vertrags­klau­seln die­nen als rechtliche Grund­lage des Trans­fers der Nutzer­daten aus der EU und der Schweiz in die USA, nach­dem der EuGH im vergan­genen Jahr den soge­nan­nten Privacy Shield als ungül­tig erklärt hatte.
Aber: Damit diese Klauseln gel­ten, müsste ein Schutz­niveau für personen­bezo­genen Daten sicher­ge­stellt sein, das dem in der Europä­ischen Union ent­spricht. Damit ist die recht­liche Grund­lage der Daten­erhebung ohne­hin frag­würdig.

Was macht WhatsApp mit den Nutzer­daten?

Die kompletten Profil­daten von Nutzern werden an alle Unter­nehmen des Facebook-Konzerns weiter­gegeben. Empfänger sind eine ganze Reihe von Konzern­töchtern, unter ande­rem natür­lich Facebook selbst, der Facebook Messenger und Instagram. Alles, was man eben so bei Whats­App angibt (Telefon­nummer, Benutzer­name, Profil­bild, Status etc.), und auch auto­matisch erho­bene Infor­mation (Geräte­infor­mation, Gruppen­infor­mationen etc.) gibt der Messen­ger­dienst weiter­.

Inhalte von Nachrichten hingegen, so gibt Whats­App an, teilt der Dienst nicht mit Schwester­unter­neh­men. Aller­dings ist offen­bar im Rahmen der Aktu­alisie­rungen die Zusi­cherung aus den Spezi­fika­tionen ver­schwunden, nie­mals Zugriff auf private Schlüs­sel der Nutzer zu nehmen (Quelle 3). – Versehen oder Absicht?

Wozu werden geteilte Nutzer­­daten verwen­det?

Die Daten werden unter allen Facebook-Unter­nehmen abge­glichen und zusammen­geführt. Es ent­stehen dadurch also konzern­über­grei­fende Nutzer­profile. Wer ist auf Facebook, der auch Whats­App-Nach­richten schreibt und Insta­gram-Bilder verteilt?

Aus solchen zusammen­geführten Profi­len lassen sich durch­aus interes­sante Rück­schlüsse ziehen. Wer auf Face­book mit rechts­extremen Ideen sympa­thisiert, der ist viel­leicht auch Mit­glied in radi­kalen Whats­App-Gruppen? Welche Rück­schlüsse und Maß­nahmen auf Basis solcher Profile getroffen werden sollen, ist der Daten­schutz­richt­linie nicht zu entnehmen. Aller­dings kön­nen Face­book-Unter­nehmen künf­tig alle mög­lichen Paral­lelen zwi­schen zusammen­gehöri­gen Accounts auf unter­schied­lichen Platt­for­men kon­trol­lieren. Als Ergeb­nis von Gruppen­mitglied­schaften, Freund­schafts- und Bekann­ten­krei­sen, von Häufig­keit der Kon­takte zwi­schen den Nut­zern, „Likes“ auf verschie­denen Platt­formen, unter­schied­licher Geräte­nutzung ent­stehen kom­plexe Netz­werke und detail­lierte Ver­haltens­muster, über die der Kon­zern seine Kun­den durch­leuch­ten, einstufen (und bewer­ben?) kann.

Immerhin weist WhatsApp darauf hin, dass zusammen­geführte Profile von Nutzern mit Wohn­sitz in der „Region Europa“ nicht dazu verwen­det werden sollen, ziel­gerichtete Facebook-Werbung anzu­zeigen. Zumin­dest nicht zum aktu­ellen Zeit­punkt. Die Daten von Nicht-Europäern werden zwar werbe­technisch ausge­schlachtet, wir aber bleiben bis auf Weite­res noch davon verschont.

Erhebung von Kontaktdaten

Eine der kriti­schen Prak­tiken aus der frühe­ren Daten­schutz­erklä­rung hat Whats­App übri­gens inhalt­lich weit­gehend über­nommen, aber zumin­dest wesent­lich deut­licher kommen­tiert.
Nach wie vor werden Daten aus den Kon­tak­ten auf den Smart­phones regel­mäßig ausge­lesen und an Whats­App weiter­gegeben – von anderen Whats­App-Nutzern ebenso wie von Perso­nen, die diesen Dienst nicht nutzen. Und im Rahmen der Zustim­mung ver­sichert auch jeder Nutzer, das dazu not­wen­dige Einver­ständnis seiner Kon­takte vor­liegen zu haben.

Aber immerhin erklärt Whats­App nun, wozu es diese Daten verwen­det. Und sie wei­­sen auch in einer knap­pen Formu­lie­rung darauf hin, dass man das „optio­nale“ Absau­gen von Kontakt­daten in den Smart­phone-Einstel­lungen unter­binden kann (Quelle 4): „Du kannst die Funk­tion zum Hoch­laden von Kon­tak­ten in den Ein­stel­lungen deines Geräts steuern.“

Rückschlüsse & Empfehlungen

„Was tun?“, spricht Zeus, „die Welt ist wegge­geben. Der Herbst, die Jagd, der Markt ist nicht mehr mein.“ – Was nun ein jeder Nutzer von Whats­App mit diesen Informa­tionen macht, bleibt ihr/ihm natür­lich selbst über­lassen.

Aber dass die Situ­ation mit den neuen Rege­­lun­gen und der einge­­for­der­ten Zustim­­mung nicht bes­ser wird als vor­her, soll­te jedem klar sein. Grund­sätzlich soll­te man unbe­dingt skep­tisch blei­ben, wenn man auf­gefor­dert wird, einer Zusam­men­füh­rung per­sonen­bezo­gener Daten über ver­schie­dene Dien­ste hin­weg zuzu­stimmen.
Auch könnte man durchaus verär­gert darü­ber sein, wie wenig Elan Whats­App zeigt, seinen Kun­den eine ver­ständ­liche und wider­spruchs­freie Daten­schutz­erklä­rung zu prä­sen­tieren. Oder sollte man dieses Geschwur­ble womög­lich gar als Ver­such wer­ten, sich absicht­lich mög­lichst wenig fest­zulegen und sich alle Opti­onen offen zu halten?

Denn dass den Nutzern früher oder später Wer­bung auf allen Platt­formen des Face­book-Konzerns ins Haus stehen werden – auch hier in Europa -, ist vermut­lich unaus­weich­lich.

Und gewiss ist auch allen klar, dass es ein Leben auch ohne Whats­App gibt.

[Nachtrag am 14.01.2021] Wer noch nach einer verständ­lich geschrie­benen und dennoch ausführlichen Alter­native zu meiner Ein­schät­zung sucht, dem empfe­hle ich einen Arti­kel der ZEIT ONLINE vom gestrigen Abend (Quelle 5). Schloss & Ende


Verlink michSie möchten einen Link auf diesen Text weitergeben?
Verwenden Sie dafür gerne die praktische Kurzform:
fassbar.de/whatsapp21


Quellen:

  1. WhatsApp Datenschutzrichtlinie für die „Region Europa“, einschließlich u. a. Großbritannien und Schweiz (Stand 04.01.2021)
  2. Region Europa (Stand 01.01.2021)
  3. Tweets zur fehlenden Verschlüsselungssicherheit (08.01.2021)
  4. Informationen zum Hochladen von Kontakten
  5. Darf WhatsApp jetzt meine Daten an Facebook petzen? (DIE ZEIT, 13.01.2021)

Alexander Roßnagel

Alexander RoßnagelHeute hat der Landtag in Wiesbaden Prof. Dr. Alexander Roßnagel (70) mehrheitlich zum Hessischen Beauftragten für Datenschutz und Informationsfreiheit gewählt. Ab März 2021 wird der promovierte und habilitierte Jurist also die Nachfolge von Michael Ronellenfitsch antreten und das Amt zunächst für die nächsten fünf Jahre bekleiden. Er ist damit das hessische Pendant zu Ulrich Kelber, dem deutschen Bundesdatenschutzbeauftragten.

Roßnagel ist Seniorprofessor für öffentliches Recht, Recht der Technik und des Umweltschutzes an der Universität Kassel. Sein erklärtes Ziel als Landesdatenschutzbeauftragter definiert er in erster Linie damit, sich für den Einbau von Datenschutz in informationstechnische Systeme einzusetzen (Privacy by Design).

Der künftige Chef-Datenschützer Hessens ist auch Träger mehrerer Auszeichnungen. 1993 erhielt er den Forschungspreis Technische Kommunikation. Zwei Jahre später bekam er den Preis für das beste juristische Buch für seine Habilitation Rechtswissenschaftliche Technikfolgenforschung verliehen. Und im Jahr 2007 wurde er zum Fellow der Gesellschaft für Informatik ernannt.

Mehr Information über Alexander Roßnagel:

Vertrauen in den Virenschutz?

Avast VirenschutzSicherheitsbewusste Benutzer von PCs, Smartphones oder Tablets installieren auf ihren Geräten Programme zum Virenschutz. So haben wir es gelernt. Und ein jeder hat sich dazu seinen Lieblings-Virenschützer ausgesucht und auf mehreren Geräten eingerichtet. Im Jahr 2015 lagen die Anbieter Avast und AVG in Hinblick auf ihre Marktanteile unter dem Betriebssystem Windows bei gut 21 Prozent (Platz 1 für Avast) beziehungsweise bei knapp 9 Prozent (Platz 3 für AVG). Man kann also davon ausgehen, dass die beiden Anbieter, die beide der gleichen Antivirenfirma gehören, weltweit auf fast jedem dritten Windows-PC installiert waren oder es noch sind. (Siehe Quelle 1.)

Virenschutz: Ist das Vertrauen in den Anbieter gerechtfertigt?

Das Computermagazin c’t hat in seiner Ausgabe 5/2020 einen Bericht veröffentlicht, aus dem hervor geht, dass Avast jahrelang umfangreiche Daten über das Surfverhalten seiner Nutzer erfasst und damit Millionen verdient hat. (Siehe Quelle 2.)

Was ist vorgefallen? – Der tschechische Virenschutz-Hersteller hat offenbar seit 2013 über sein Tochterunternehmen Jumpshot das Surfverhalten der Avast- und AVG-Nutzer protokolliert. Die Ergebnisse hat die Firma angabegemäß anonymisiert an interessierte Unternehmen verkauft. So wurden unter anderem das Einkaufsverhalten oder der Pornokonsum von Avast-Kunden registriert und weitergegeben.

Internationales Medienecho sorgte dafür, dass der Avast-CEO Ondej Vlek im Januar 2020 bekannt gab, man habe die Unternehmenstochter Jumpshot eliminiert. Aber selbst wenn wir davon ausgehen, dass die Sammelwut von Avast ein Ende gefunden hat, bleibt die entscheidende Frage offen:

Würden Sie einem Programm zum Virenschutz vertrauen, das Ihr Surfverhalten mitgeschnitten und an Dritte verkauft hat? Schloss & Ende


Quellen:

  1. Marktanteile Windows-Antivirus (Statista, Stand 2015)
  2. Wie Avast die Daten seiner Kunden verkauft hat (c’t, Ausgabe 5/2020)