WhatsApp ist datenschutzrechtlich unbedenklich

Dies ist jedenfalls das (zusammengefasste) offizielle Ergebnis der Untersuchung von WhatsApp durch die niederländische Datenschutzaufsichtsbehörde CBP. In der Pressemitteilung heißt es:

WhatsApp now processes telephone numbers of non-users in another way and has also changed the way it stores these data. According to the Dutch DPA, by doing so the company now has a legal basis to process these data.

 

Dabei stellt die Aufsichtsbehörde auch klar, dass WhatsApp während des seit 2013 andauernden Verfahren durchaus Änderungen hinsichtlich Art und Umfang der Speicherung der Telefonnummern vorgenommen hat. Dies betrifft insbesondere, die Telefonnummern (deren Übermittlung für die Verwendung von WhatsApp erforderlich ist) von Dritten, die zum Übermittlungszeitpunkt noch keine Nutzer sind:

The company has taken security measures appropriate for its service that will have the effect that telephone numbers of non-users are processed technically in a way (‘hashed’) that the possibility for other uses are limited. Moreover, these ‘hashed’ telephone numbers of non-users will be stored separately. Only a limited number of engineers have access to this data.

 

Im Nachgang an die Safe-Harbor Entscheidung des EuGH eine zunächst überraschend klingende (aber beruhigende) Entscheidung der Aufsichtsbehörde. Es wäre jedoch schön, wenn in der Folge weitere Details der Entscheidung bekannt würden, statt nur die kurze Pressemitteilung.

Datenschutz? There’s no App for that

Der Datenschutz hat es schwer. Manche unken, dass der Schutz persönlicher Daten mit der Einführung von iPhone & Co. endgültig zum hoffnungslosen Unterfangen geworden ist. Smartphones zeichnen sich dadurch aus, dass sie neben den klassischen Telefonfunkionen und einem Zugriff auf das Internet, die Möglichkeit bieten vielfältige Dienste und Vernetzungsmöglichkeiten mobil zu nutzen. Der Bundesdatenschutzbeauftragte Peter Schaar mahnt Smartphone-Nutzer seit längerem sorgsam mit Smartphones umzugehen und kritisiert den unzureichenden Datenschutz bei Smartphones. Gemeint sind dabei nicht nur die vor kurzem für Aufregung sorgenden vermeintlichen Bewegungsprofile, die die Smartphone-Anbieter wie Apple oder Google anlegen, sondern viel mehr die Vielzahl an Apps, die Smartphone-Nutzer täglich verwenden.

Nutzer werden oft nur unzureichend, meist gar nicht, über die Verwendung personenbezogener Daten informiert. Selbst bei sorgsamen Umgang ist es Verbrauchern daher häufig nicht möglich nachzuvollziehen welche Daten zu welchem Zweck übermittelt und verwendet werden. Die nahtlose Integration in das Mobiltelefon macht es App-Anbietern dabei besonders leicht auf personenbezogene Daten zuzugreifen. Der Zugriff auf E-Mails und Adressbuch ist nur einen Klick entfernt. Bekanntestes Beispiel dürfte hier die Facebook-App sein, die vor knapp einem Jahr die „Friend-Finder“ Funktion integrierte und mit einem Klick sämtliche Kontaktdaten übermittelte und synchronisierte. Immerhin mit einer rudimentären Erklärung.

Eine weitere beliebte App, die sich umfassend im Adressbuch des Smartphone-Nutzers bedient, ist Whatsapp. Whatsapp versteht sich als kostenlose Alternative zum SMS Versand. Bevor Whatsapp genutzt werden kann, wird der Nutzer gefragt, ob er den Zugriff auf das Adressbuch erlaubt. Der Klick auf „Zustimmen“ hat für den Nutzer jedoch weitreichende Folgen. Whatsapp wird alle Telefonnummern im Adressbuch an den eigenen Server übermitteln, dort dauerhaft speichern und mit dem bestehenden Datenpool abgleichen. Stimmt die Telefonnummer mit der eines anderen Whatsapp-Nutzer überein, erscheint dieser automatisch in den eigenen Favoriten. Dem Austausch von Kurzmitteilungen steht nichts mehr im Weg.

Jeder, der sein Smartphone nicht nur privat sondern auch geschäftlich nutzt, kann nur geraten werden, sich vor dem schnellen Klick beim Zugriff auf das Adressbuch innezuhalten und sich zu informieren. Doch die Information über den Datenschutz ist mitunter nicht einfach. Um bei dem Beispiel zu bleiben, die Datenschutzerklärung von Whatsapp ist wenig erhellend. Und was sagen fachkundige Newsdienste? Heise etwa geht über das hohe Datenschutzrisiko bei Whatsapp einfach hinweg. Eine Sensibilisierung der Nutzer sieht anders aus.

Verstoßen Anbieter wie Whatsapp gegen das deutsche Datenschutzrecht?

Um es kurz zu machen: Die Datenerhebung und -verarbeitung durch Whatsapp wäre, was den Abgleich und die Vorratshaltung der Daten angeht, nach deutschem Datenschutzrecht wohl problematisch. Doch ist es überhaupt anwendbar, wenn der App-Betreiber im Ausland sitzt? Nach § 1 Abs. 5 BDSG ist auch ein ausländischer Betreiber an deutsches Datenschutzrecht gebunden, wenn er Daten im Inland erhebt, verarbeitet oder nutzt. Jedenfalls für die Erhebung wird man daher deutsches Datenschutzrecht annehmen können. Datenschützer wie Peter Schaar wissen jedoch, dass trotz Anwendbarkeit eine Durchsetzung nahezu unmöglich ist.

Andererseits stellt sich die Frage, ob nicht der Smartphone-Nutzer selbst datenschutzrechtlich zur Verantwortung gezogen werden könnte. Schließlich übermittelt er mit einem Klick die personenbezogenen Daten seiner Kontakte. Verantwortliche Stelle im Sinne des BDSG kann auch eine Privatperson sein. Die Übermittlung von personenbezogenen Daten (hier der fremden Kontaktdaten im Adressbuch) ist daher nur mit Einwilligung des Betroffenen oder einer gesetzlichen Erlaubnis zulässig.

Muss der unbescholtene deutsche Smartphone-Nutzer  seine Kontakte fragen, wenn er die Daten seines Adressbuchs für die Inanspruchnahme einer App überträgt?

Das wird wohl im Einzelfall zu prüfen sein.  Datenschutzrechtlern fallen wohl sofort die Möglichkeiten der Auftragsverarbeitung (§ 11 BDSG) oder der Verarbeitung zur Vertragsabwicklung (§ 28 Abs. 1 BDSG) ein. Doch das Problem lauert bereits an anderer Stelle. Sitzt der App-Betreiber, an den die Daten übermittelt werden im außereuropäischen Ausland, so sind die gesteigerten Erfordernisse von § 4b BDSG zu beachten. Sitzt der App-Betreiber in den USA und ist nicht dem Safe-Harbor beigetreten, so ist die Prüfung schnell beendet: Die Übermittlung der personenbezogenen Daten ist nur mit  schriftlicher Einwilligung der Betroffenen möglich. Ein unrealistisches Unterfangen, der Verstoß jedoch grundsätzlich eine Ordnungswidrigkeit.

Die Konsequenz?

Der Zugriff auf personenbezogene Daten war noch nie so leicht und unübersichtlich, wie bei Smartphones. Gerade Verbraucher können die Auswirkungen kaum abschätzen. Grund dafür ist auch die fehlende Aufklärung durch Medienangebote, die über angesagte Apps berichten ohne auf datenschutzrechtliche Konsequenzen hinzuweisen.

Markus Beckedahl ist dieser Tage für seine Äußerung kritisiert worden, dass jeder der das Internet aktiv nutzt und Medienkompetenz besitzt, Urheberrechtsverletzungen begeht. Die Aussage wäre leider im Hinblick auf den Datenschutz bei der Smartphonenutzung wohl treffender:

Jeder der sein Smartphone aktiv nutzt, verstößt gegen Datenschutzrecht.