Frag einen Datenschutzbeauftragten!

WhatsApp Analyse! Was ist nun mit Privatsphäre und Nutzungsbedingungen?

14 Juli 2021

Newsletter abonnieren!




YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

 

Herzlich willkommen zu „Frag einen Datenschutzbeauftragten“. Diesmal mit der spannenden Analyse des Messengers „WhatsApp“ und das wird wider eurer eventuellen Erwartung kein „Klopp auf den Marktführer“ Bericht, sondern der Versuch ein differenziertes Bild zu diesem Kommunikationsdienst zu zeichnen.

Wir wollen die aktuellen Spitzenreiter der Messenger auf ihre Sicherheit prüfen und dabei Technik, Recht und Wirtschaft einbeziehen. Deshalb habe ich Punkte erarbeitet, die diesen Check ermöglichen sollen und euch helfen, die Ergebnisse richtig einzuordnen. Denn es geht ja darum, dass ihr eine fundierte und freiwillige Entscheidung treffen könnt.

Weil ich weiß, das die meisten von uns mit langen Vorreden nicht viel anfangen können, gibts hier erst mal das finale Ergebnis zu WhatsApp

„WhatsApp bietet einen Ende-zu-Ende Verschlüsselung für alle Nachrichten und Medien. Metadaten werden bewusst davon ausgenommen und mit dem Mutterkonzern Facebook für Werbezwecke genutzt und weiterverkauft. Das Unternehmen reagiert unseriös auf Sicherheitslücken und wird seit mehreren Jahren wegen bewussten Datenschutzverstößen kritisiert und regelmäßig verklagt.“

Na das wird doch ein Spaß oder? Schauen wir uns mal die Kriterien an die zu dieser Bewertung im Fall von WhatsApp geführt haben:

Auf der technischen Seite haben wir die Fragen:

1. Gibt es Ende zu Ende Verschlüsselung und wenn ja, ist sie sicher?
2. Werden Metadaten gesammelt und wenn ja, wie werden sie anonymisiert bzw. pseudonymisiert?
3. Ist der Quellcode unabhängig überprüfbar und unabhängig bestätigt worden?

Auf der rechtlichen Seite haben wir:

1. Sind die Nutzungsbedingungen im Einklang mit der DSGVO?
2. Ist die Datenschutzerklärung einfach verständlich, transparent und präzise?
3. Können die Nutzer ihre Rechte vollumfänglich wahrnehmen und ist der Prozess einfach zugänglich?
4. Wo ist der Standort des Anbieters und welche nationale Gesetze wirken?

und auf der wirtschaftlichen Seite schließen wir mit:

1. Was ist das Geschäftsmodell des Anbieters?
2. Welche Vermögenswert und Besitzrechte sind bekannt?
3. Welche Bestrebungen für die Zukunft sind bekannt?

Die Messlatte liegt relativ hoch. Also ich würde sagen, macht es euch gemütlich und wir fragen bei WhatsApp mal [MEME: WHATS UUUUUUUPP?]

Die Technik

WhatsApp setzt seit 2016 offiziell bestätigt Ende-zu-Ende Verschlüsselung ein. Dazu hat das Unternehmen sogar ein White-Paper veröffentlicht. „Ho, ho, ho die feinen Herren und Damen meinen es ernst?“

Nicht ganz. Bereits auf der ersten Seite wird die Beschränkung auf „Nachrichten und Anrufe“ ausgewiesen. Demnach gilt das also nicht für Metadaten WhatsApp? Das ist zu erwarten wie wir im rechtlichen Teil noch genauer erkennen können.

Für die Verschlüsselung wird das Signal-Protokoll, des gleichnamigen Konkurrenten Signal, verwendet. Obschon dies unter Krypto-Spezialisten gelobt wird sichert es natürlich nur die Daten die WhatsApp damit verschlüsselt. Hier gibt es eine ganze Menge die nicht berücksichtigt werden, was WhatsApp in diesem Punkt natürlich schlecht dastehen lässt.

Backups die jeder Nutzer automatisch oder selbstständig anfertigen kann, werden immer unverschlüsselt gespeichert und als Speicherort dient das Google Drive. An dieser Stelle kommt dann dieser komische Kloß im Hals und man möchte den Vorständen der WhatsApp und Facebook Inc. [MEME: Bam Lee „so richtig schön in die Fresse rein hauen, verstehste?“]

Beim sammeln unverschlüsselter Metadaten ist der Crypto-Clown der Messenger dafür ein richtiger Streber. WhatsApp benötigt zur Registrierung eine Telefonnummer. Um Kontakt zu einem anderen Nutzer aufzunehmen muss zwingend das lokale Adressbuch mit dem Server ausgetauscht werden und Gruppen-Chats werden ebenfalls im Klartext vom Server verwaltet. Dazu kommen dann noch die üblichen Nutzungsdaten von wann, wo, wie lange, mit wem und warum. Also mal alles der Reihe nach. Die unverschlüsselte Telefonnummer bietet Hackern die Möglichkeit Benutzerkonten einfach zu identifizieren und gezielt zu übernehmen, so geschehen 2011 und 2012. Das übertragen des lokalen Adressbuchs macht alle Kontakte in deinem Adressbuch zu potenziellen Opfern solcher Attacken. Darüber hinaus stellt es einen Datenschutzverstoß dar, den wir gleich weiter erörtern. Die wohl kritischste Schwachstelle sind die Gruppen-Chats. Diese werden von WhatsApps Servern verwaltet und können nach belieben Nutzer hinzufügen oder entfernen. Auch wenn der Ersteller der Gruppe darüber angeblich informiert wird, schließt dies einen Missbrauch nicht aus.

WhatsApp wird auf den Unternehmensservern betrieben und hat den Quellcode des Clients offen gelegt, doch wird dieser von Experten als nicht authentisch eingestuft. Hauptsächlich liegt dies daran, dass niemand prüfen kann ob der veröffentlichte Code auch der gerade genutzte auf den Servern und in der App ist.

Nach einem Sicherheitstest des online Magazins Heise kann die Funktion der Ende-zu-Ende Verschlüsselung von WhatsApp für Nachrichten auch betriebssystem- und geräteübergreifend bestätigt werden.

Das Recht

Auf der rechtlichen Ebene reden wir bei WhatsApp und Facebook Inc. von zwei Unternehmen die seit der jeweiligen Gründung nahezu kein Jahr ohne öffentliches Ärgernis ausgekommen sind. Hier mal eine kleine Historie der WhatsApp Sicherheitslücken für euch.

05.2011: Unbefugte können Benutzerkonten übernehmen
08.2012: Implementierung von Verschlüsselung
01.2012: Website kann durch Telefonnummer Status des Nutzers ändern
09.2012: Übernahme fremder Konten durch Passwort Berechnung aus Telefon- und Seriennummer
07.2013: Zahlungsprozess kann Zugriff auf PayPal und Google-Wallet ermöglichen
05.2015: US Behörden können alle Nachrichten mitlesen
04.2016: Implementierung von Ende-zu-Ende Verschlüsselung
10.2016: Nachrichten Backups sind immer unverschlüsselt
01.2017: WhatsApp-Server können Nutzer in Gruppen hinzufügen und entfernen

Uiuiui! Das ja mal ne Liste, nicht wahr? Aber davon lassen wir uns natürlich nicht negativ beeinflussen, denn uns interessiert ja der aktuelle Stand. WhatsApp ist zuletzt wegen der umstrittenen Änderung der Nutzungsbedingungen in die Kritik und Lächerlichkeit geraten. Dabei geht es um die Weitergabe von Daten zwischen WhatsApp, Facebook und anderen Unternehmen. Ein ausführliches Video dazu habe ich dir hier oben verlinkt. Mit dem ewigen Verschieben aufgrund von meckernden Datenschutzbeauftragten und mehreren Klagen, hat WhatsApp viel Seriösität einbüßen müssen. Die technischen Markel im Punkto Verschlüsselung verstärken dieses negative Bild zusätzlich.

Beim Datenschutz fällt die notwendige Übertragung des lokalen Adressbuches an den Server in unverschlüsselter Form negativ ins Gewicht. „Warum denn das, ist doch nichts bei ich will ja nur checken ob Paris, Tristan und Kevin-Harald auch bei WhatsApp sind?“ Ja klar. Nachvollziehen können wir das alle. Aber bei der Übergabe einer Telefonnummer und eines Namens an eine Dritte Partei, in diesem Falle WhatsApp, begehst du als Nutzer einen Datenschutzverstoß. Zumindest gegenüber allen Kontakten in deinem Adressbuch die nicht bereits WhatsApp Nutzer sind. Das Problem entsteht, wenn du nicht die persönliche Einwilligung der einzelnen Personen im Vorhinein einholst. Auch dazu habe ich vor Jahren ein Video gemacht, was du hier finden kannst.

Die Datenschutzbestimmungen von WhatsApp sind auf der Webseite einfach zu finden, büßen jedoch wichtige Pluspunkte bei der Transparenz ein. Besonders die Datenverarbeitungsprozesse werden sehr wage beschrieben und wirken mehr wie ein „Mustertext-Märchen“ als ein Versuch zu informieren. Das Impressum von WhatsApp wird seit mehreren Jahren als unzulässig kritisiert. Was WhatsApp nicht wirklich zu stören scheint. Die Einstellungen zu Cookies auf der Webseite von WhatsApp, welche sich auch auf den Webservice beziehen sind ein schlechter Witz. Entweder alles akzeptieren oder die Einstellungen im Browser vornehmen, haben mal überhaupt nichts mit den Forderungen der DSGVO zu tun. Von Aufklärung in einfach Verständlicher Form kann hier also auch keine Rede sein.

Als nationale Gesetze die das Wort Datenschutz absurd machen sind beim US amerikanischen Unternehmen der Patriot- und Cloud-Act zu nennen. Geheimdienste und andere Regierungsstellen dürfen damit jedwede Informationen des Unternehmen ohne Angabe von Gründen jederzeit beanspruchen und für eigene Zwecke verwenden.

Am schlimmsten wird es dann aber bei den Betroffenenrechten. Ein Kontakt zur Datenschutzabteilung ist zwar ausgewiesen, doch die Antworten sind immer die selben automatischen Schreiben die den Kern der Anfrage z.B. „auf Vergessenwerden“ einfach ignorieren. Informationen zum löschen des Kontos werden bewusst im Hilfebereich ausgeblendet und können nur über die Datenschutzerklärung mühsam gefunden werden. Die Löschung des Kontos selbst kann in den Account-Einstellungen der App durchgeführt werden, doch das Unternehmen zeigt hier klar worum es wirklich geht! Deine Daten zu Kohle machen!

Die Wirtschaft

Wir machen Kohle mit deinen Daten! Weil du unser Produkt bist, mit dem wir einen Service für Werbepartner betreiben. So könnte der wahre Slogan von WhatsApp und Facebook lauten. Das 2009 von Jan Koum und Brian Actor gegründete Unternehmen WhatsApp Inc. wurde im Februar 2014 Teil der Facebook Inc., für schlappe 19 Mrd. US Dollar. Richtiges Schnäppchen für Silicon Valley Wahnsinnige.

2014 wurde eine Partnerschaft mit OpenWhisperSystems, den machen Entwicklern von Signal, bekannt gegeben und 2016 dann die Ende-zu-Ende Verschlüsselung eingeführt. Nicht zu verwechseln mit der Verschlüsslung die angeblich 2012 implementiert wurde. Was natürlich eine Lüge sein muss, wie die Sicherheitslücken bereits gezeigt haben. 2017 verließ der ehemalige Gründer Brian Acton das Unternehmen und gründetet die gemeinnützige Signal-Foundation mit 50 Mil. US Dollar Startkapital. 2018 folgt dann sein Gründerkollege Jan Koum und verließ den Facebook Verwaltungsrat, nachdem dieser die Monetarisierung der Nutzerdaten von WhatsApp Nutzern für Werbezwecke beschloss. Merkt ihr es schon was da ab geht?

Wahrscheinlich schon oder? Wenn ein Unternehmen mehrere Milliarden Dollar für ein anderes Unternehmen aufbringt, dann gibt es noch viel mehr Milliarden zu verdienen. Da du als Nutzer für die WhatsApp nichts bezahlst, die wichtigen Metadaten nicht verschlüsselt werden und das Unternehmen Unsummen zum Betrieb des Dienstes aufbringen muss, kannst du dir leicht vorstellen wie hier Geld verdient wird. Und das nicht zu knapp. Stand Februar 2020 gab WhatsApp über 2 Milliarden Nutzer weltweit bekannt und Facebook Inc. einen Umsatz von schlappen 87,5 Milliarden Us Dollar.

Das Fazit

Abschließend können wir feststellen, das WhatsApp und Facebook Inc. wenig bis gar kein Interesse an Transparenz zur Firmenpolitik oder dem Umgang mit Nutzerdaten hat. Ebenso wenig nehmen die Unternehmenschefs den Datenschutz ernst und behandeln die Informationen ihrer Nutzer als Ware die zur freien Verfügung steht. Technische Sicherheit steht auch nicht an erster Stelle, sondern wird bei bekanntwerden von Lücken stiefmütterlich geflickt statt ordentlich geschlossen. Widersprüchliche Informationen zu dem Einsatz von Verschlüsselung in den Jahren 2012 – 2016, werfen auch aktuell noch einen weiten Schatten.

Somit ist WhatsApp als Messenger eindeutig nicht zu empfehlen. Wenn dir deine Privatsphäre soviel wert ist wie WhatsApp und Facebook, solltest du dich von dieser App fern halten.

Bis du jetzt schockiert, eschoffiert oder bestärkt in deiner Meinung über WhatsApp? Schreib deine Meinung in die Kommentare und sag mir wie du mit dem aktuellen Messenger Wahnsinn umgehst. Bis zum nächsten Mal, tschau!

Quellen

https://www.whatsapp.com/security/
https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf
https://www.heise.de/security/artikel/Test-Hinter-den-Kulissen-der-WhatsApp-Verschluesselung-3165567.html
https://de.wikipedia.org/wiki/Facebook_Inc.
https://de.wikipedia.org/wiki/WhatsApp
https://www.whatsapp.com/privacy

Source Code

https://github.com/WhatsApp

Praxistaugliche Antworten auf Deutschlands größten Datenschutz Video-Blog

Frag einen Datenschutzbeauftragten

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Auftragsverarbeitung: Wie automatisiere ich die Unterzeichnung von AV-Verträgen mit meinen Kunden?

Wir zeigen Dir wie wir bei Datenschutz ist Pflicht die Unterzeichnung von AV-Verträgen mit unseren Kunden vollständig automatisiert haben.

Informationen über Frag einen Datenschutzbeauftragten

Wer steckt dahinter?

Stephan Plesnik „Der Enabler“ ist Datenschutzbeauftragter im unserem Team von Datenschutz ist Pflicht. Hauptberuflich ist er Trainer, Coach und Mentor für Persönlichkeitsentwicklung & Unternehmensführung und befähigt Menschen auf ihrem Weg innovativer und nachhaltiger Veränderungen. Auf seinem Kanal „Make . Your . Self“ veröffentlicht er regelmäßig Videos mit Problemlösungen aller Art. Seine Spezialausbildungen reichen von Musik-, Film- und Grafikproduktion über IT-Sicherheit, Datenschutz bis zu Business Transformation Management.

Datenschutz ist Pflicht“ ist eine Marke der Ing.-Büro Dr. Plesnik GmbH und beschäftigt ein großes Team von Datenschutzbeauftragten. Was uns auszeichnet sind die vielfältigen Spezialausbildungen unserer Datenschutzbeauftragten. So sind unsere Mitarbeiter IT-Sicherheitsbeauftragte, Fachinformatiker oder IT-Business-Architekten und nutzen ihre fundierten Kenntnisse der digitalen Technologien, um unseren Kunden den Datenschutz so einfach wie möglich zu gestalten.