Zum 8. Februar 2021 ändert WhatsApp seine Nutzungsbedingungen und die Datenschutzrichtlinie.
Welche Neuerungen damit im Detail verbunden sind, lässt sich nicht abschließend beurteilen. Auf den einschlägigen Webseiten des Unternehmens herrscht derzeit noch wildes Durcheinander von Links auf bisherige und neue Bestimmungen. So landet man nach dem Klicken mal auf den alten Regelungen von 2018, mal auf Versionen mit neuerem Datum aus dem Januar 2021. Da muss wohl erst noch kräftig aufgeräumt werden, bevor ein einheitliches Bild ensteht.
Ich beziehe mich hier einmal auf die neuste Fassung der Datenschutzrichtlinie (Quelle 1) für Europa (Quelle 2).
Interessant ist übrigens, dass die neuen Regelungen nicht als durch die Nutzer stillschweigend akzeptiert gelten. Vielmehr müssen alle Benutzer von WhatsApp in einem Pop-up-Fenster der App den Bedingungen und Richtlinien explizit zustimmen. Wer diese willentliche Zustimmung bis zum 8. Februar nicht erteilt, kann WhatsApp nicht mehr verwenden!
[Nachtrag 18.02.2021] Termin für die Zwangszustimmung wurde auf den 15. Mai 2021 verschoben. Ob massive Abwanderungen zu anderen Messengern die Ursache dafür sind?
Warum ist die aktive Zustimmung so wichtig?
WhatsApp lässt sich mit dem Klick auf „Zustimmen“ eine datenschutzrechtlich wirksame Einwilligung zur Verarbeitung personenbezogener Daten erteilen. (Die kann man zwar später auch widerrufen. Doch wo und wie man den Widerspruch einlegt, wird nicht sofort ersichtlich. Vermutlich muss man sich dazu an den Support wenden.)
Erst mit dieser Einwilligung darf WhatsApp die erhobenen Nutzerdaten für alle in der Datenschutzrichtlinie beschriebenen Zwecke verwenden.
Detail am Rande: WhatsApp bezieht sich nun auf die Standarddatenschutzklauseln der EU-Kommission (Musterverträge, in denen sich die Auftragsverarbeiter, also hier WhatsApp und Facebook, zur Einhaltung eines angemessenen Datenschutzniveaus verpflichten). Diese Standardvertragsklauseln dienen als rechtliche Grundlage des Transfers der Nutzerdaten aus der EU und der Schweiz in die USA, nachdem der EuGH im vergangenen Jahr den sogenannten Privacy Shield als ungültig erklärt hatte.
Aber: Damit diese Klauseln gelten, müsste ein Schutzniveau für personenbezogenen Daten sichergestellt sein, das dem in der Europäischen Union entspricht. Damit ist die rechtliche Grundlage der Datenerhebung ohnehin fragwürdig.
Was macht WhatsApp mit den Nutzerdaten?
Die kompletten Profildaten von Nutzern werden an alle Unternehmen des Facebook-Konzerns weitergegeben. Empfänger sind eine ganze Reihe von Konzerntöchtern, unter anderem natürlich Facebook selbst, der Facebook Messenger und Instagram. Alles, was man eben so bei WhatsApp angibt (Telefonnummer, Benutzername, Profilbild, Status etc.), und auch automatisch erhobene Information (Geräteinformation, Gruppeninformationen etc.) gibt der Messengerdienst weiter.
Inhalte von Nachrichten hingegen, so gibt WhatsApp an, teilt der Dienst nicht mit Schwesterunternehmen. Allerdings ist offenbar im Rahmen der Aktualisierungen die Zusicherung aus den Spezifikationen verschwunden, niemals Zugriff auf private Schlüssel der Nutzer zu nehmen (Quelle 3). – Versehen oder Absicht?
Wozu werden geteilte Nutzerdaten verwendet?
Die Daten werden unter allen Facebook-Unternehmen abgeglichen und zusammengeführt. Es entstehen dadurch also konzernübergreifende Nutzerprofile. Wer ist auf Facebook, der auch WhatsApp-Nachrichten schreibt und Instagram-Bilder verteilt?
Aus solchen zusammengeführten Profilen lassen sich durchaus interessante Rückschlüsse ziehen. Wer auf Facebook mit rechtsextremen Ideen sympathisiert, der ist vielleicht auch Mitglied in radikalen WhatsApp-Gruppen? Welche Rückschlüsse und Maßnahmen auf Basis solcher Profile getroffen werden sollen, ist der Datenschutzrichtlinie nicht zu entnehmen. Allerdings können Facebook-Unternehmen künftig alle möglichen Parallelen zwischen zusammengehörigen Accounts auf unterschiedlichen Plattformen kontrollieren. Als Ergebnis von Gruppenmitgliedschaften, Freundschafts- und Bekanntenkreisen, von Häufigkeit der Kontakte zwischen den Nutzern, „Likes“ auf verschiedenen Plattformen, unterschiedlicher Gerätenutzung entstehen komplexe Netzwerke und detaillierte Verhaltensmuster, über die der Konzern seine Kunden durchleuchten, einstufen (und bewerben?) kann.
Immerhin weist WhatsApp darauf hin, dass zusammengeführte Profile von Nutzern mit Wohnsitz in der „Region Europa“ nicht dazu verwendet werden sollen, zielgerichtete Facebook-Werbung anzuzeigen. Zumindest nicht zum aktuellen Zeitpunkt. Die Daten von Nicht-Europäern werden zwar werbetechnisch ausgeschlachtet, wir aber bleiben bis auf Weiteres noch davon verschont.
Erhebung von Kontaktdaten
Eine der kritischen Praktiken aus der früheren Datenschutzerklärung hat WhatsApp übrigens inhaltlich weitgehend übernommen, aber zumindest wesentlich deutlicher kommentiert.
Nach wie vor werden Daten aus den Kontakten auf den Smartphones regelmäßig ausgelesen und an WhatsApp weitergegeben – von anderen WhatsApp-Nutzern ebenso wie von Personen, die diesen Dienst nicht nutzen. Und im Rahmen der Zustimmung versichert auch jeder Nutzer, das dazu notwendige Einverständnis seiner Kontakte vorliegen zu haben.
Aber immerhin erklärt WhatsApp nun, wozu es diese Daten verwendet. Und sie weisen auch in einer knappen Formulierung darauf hin, dass man das „optionale“ Absaugen von Kontaktdaten in den Smartphone-Einstellungen unterbinden kann (Quelle 4): „Du kannst die Funktion zum Hochladen von Kontakten in den Einstellungen deines Geräts steuern.“
Rückschlüsse & Empfehlungen
„Was tun?“, spricht Zeus, „die Welt ist weggegeben. Der Herbst, die Jagd, der Markt ist nicht mehr mein.“ – Was nun ein jeder Nutzer von WhatsApp mit diesen Informationen macht, bleibt ihr/ihm natürlich selbst überlassen.
Aber dass die Situation mit den neuen Regelungen und der eingeforderten Zustimmung nicht besser wird als vorher, sollte jedem klar sein. Grundsätzlich sollte man unbedingt skeptisch bleiben, wenn man aufgefordert wird, einer Zusammenführung personenbezogener Daten über verschiedene Dienste hinweg zuzustimmen.
Auch könnte man durchaus verärgert darüber sein, wie wenig Elan WhatsApp zeigt, seinen Kunden eine verständliche und widerspruchsfreie Datenschutzerklärung zu präsentieren. Oder sollte man dieses Geschwurble womöglich gar als Versuch werten, sich absichtlich möglichst wenig festzulegen und sich alle Optionen offen zu halten?
Denn dass den Nutzern früher oder später Werbung auf allen Plattformen des Facebook-Konzerns ins Haus stehen werden – auch hier in Europa -, ist vermutlich unausweichlich.
Und gewiss ist auch allen klar, dass es ein Leben auch ohne WhatsApp gibt.
[Nachtrag am 14.01.2021] Wer noch nach einer verständlich geschriebenen und dennoch ausführlichen Alternative zu meiner Einschätzung sucht, dem empfehle ich einen Artikel der ZEIT ONLINE vom gestrigen Abend (Quelle 5). 
Sie möchten einen Link auf diesen Text weitergeben?
Verwenden Sie dafür gerne die praktische Kurzform:
fassbar.de/whatsapp21
Quellen:
- WhatsApp Datenschutzrichtlinie für die „Region Europa“, einschließlich u. a. Großbritannien und Schweiz (Stand 04.01.2021)
- Region Europa (Stand 01.01.2021)
- Tweets zur fehlenden Verschlüsselungssicherheit (08.01.2021)
- Informationen zum Hochladen von Kontakten
- Darf WhatsApp jetzt meine Daten an Facebook petzen? (DIE ZEIT, 13.01.2021)
Heute hat der Landtag in Wiesbaden Prof. Dr. Alexander Roßnagel (70) mehrheitlich zum Hessischen Beauftragten für Datenschutz und Informationsfreiheit gewählt. Ab März 2021 wird der promovierte und habilitierte Jurist also die Nachfolge von Michael Ronellenfitsch antreten und das Amt zunächst für die nächsten fünf Jahre bekleiden. Er ist damit das hessische Pendant zu 