WhatsApp und der Datenschutz: Das gibt es zu beachten
Privatsphäre versus Big Data – sie scheinen sich unversöhnlich gegenüberzustehen. Denn je digitaler Prozesse werden, um so mehr Daten möchten sie sammeln. Dies gilt auch für Messenger-Dienste wie WhatsApp, deren Umgang mit personenbezogenen Daten immer wieder kontrovers diskutiert wird.
Natürlich möchte niemand, dass Fremde Firmengeheimnisse oder vertrauliche Chats mitlesen – schließlich gibt man in privaten Nachrichten bei WhatsApp viel von sich preis. Wenn Bankdaten oder E-Mail-Adressen geleakt werden, können die Folgen drastisch sein, doch auch vermeintlich harmlosere Spuren im Netz schaden der Anonymität.
Deshalb haben wir WhatsApp in dieser Hinsicht einmal genauer unter die Lupe genommen und geprüft, wie es der Messenger mit Datenschutz und Vertraulichkeit hält und was man bei seiner Nutzung beachten sollte.
Wie hält es WhatsApp mit dem Datenschutz?
Laut statista nutzen rund zwei Milliarden Menschen weltweit WhatsApp. In Deutschland sind es knapp 60 Millionen Nutzer. Kein Wunder, lassen sich mit dem Messengerdienst doch bequem Fotos, Videos, Sprach- und Textnachrichten versenden. Aber nicht nur privat, auch beruflich wird die Nachrichtenapp gerne genutzt. Sei es, um dem Kollegen fix eine Terminverschiebung mitzuteilen, Dienstpläne abzusprechen oder ein Projekt abzustimmen.
Seit 2018 bietet WhatsApp sogar eine Business-Applikation, auf der Unternehmen eigene Profile anlegen und so mit ihren Kunden kommunizieren können. Neben den Chatfunktionen stehen in dieser Version automatisierbare Antwortmöglichkeiten zur Verfügung. Die App kann darüber hinaus als API-Schnittstelle für Customer-Relationship-Systeme (CRM) genutzt werden. Laut Wall Street Journal nutzten diesen Service 2020 bereits 50 Millionen Unternehmen. WhatsApp ist damit immer noch der führende Messengerdienst weltweit.
Auch laut der OTT-Studie 2020 der Bundesnetzagentur zur Verbreitung und Nutzung von Messenger Apps führt WhatsApp immer noch die Rangliste an.
Auf welche Daten hat WhatsApp Zugriff?
So verlockend es erscheinen mag, diesen Kanal in den eigenen Marketingmix einzubinden, so kritisch ist er in Sachen Datenschutz und Privatsphäre. Zum einen, weil man – zumindest in Europa – die EU-Datenschutz-Grundverordnung (DSGVO) berücksichtigen muss, wenn man die Nutzung betrieblich vorgibt und die App zur Abstimmung im Unternehmen nutzt. Zum anderen, weil WhatsApp selbst recht lax mit der Privatsphäre seiner Nutzer umgeht.
Um WhatsApp überhaupt nutzen zu können, muss man beim Download dessen Datenschutz-Bestimmungen zustimmen. Damit erhält der Metakonzern (ehemals Facebook), zu dem WhatsApp gehört, einen Datennutzungsfreibrief massivem Ausmaßes. Es folgt ein kurzer Überblick der Dinge, auf die WhatsApp mit dieser Zustimmung zugreifen kann bzw. was es speichern darf:
Telefonnummer, Profilbild, Status, Geburtsdatum sowie den Anzeigennamen
Diese Angaben behandelt WhatsApp als freiwillig und speichert sie ohne besonderen Datenschutz ab.Kamera und Mikrofon
Um diese Funktionen nutzen zu können, muss man dem Dienst umfangreiche Zugriffsermächtigungen gewähren.Kontakte
WhatsApp greift auf das jeweilige Adressbuch zu und erkennt so, wenn ein Kontakt ebenfalls den Dienst nutztFotos
So komfortabel es ist, über WhatsApp Bilder zu versenden, so bewusst sollte man sich sein, dass WhatsApp diese speichert. Nach eigenen Angaben werden diese Bilder aber angeblich nach kurzer Zeit geschreddert.Standort
Wenn man den Standortdienst aktiviert hat, weiß WhatsApp immer, wo man sich gerade befindet.Laufende Apps
WhatsApp weiß immer, welche Programme auf dem Handy noch laufen
Da die Server des Unternehmens nicht in Deutschland stehen, gelten weder für WhatsApp noch für Meta (ehemals Facebook) deutsche oder europäische Datenschutzgesetze. Allerdings gibt es eine Vereinbarung mit der EU-Kartellbehörde aus dem Jahr 2014, die WhatsApp untersagt, Daten an Meta weiterzugeben.
Was in der Theorie gut klingt, zeigt in der Praxis deutliche Schwächen, denn die Verarbeitung und Nutzung von Metadaten wie Profilbildern und Standortinformationen bleiben davon unberührt. Außerdem nutzt der Konzern eine Lücke in der DSGVO. Diese gestattet zwei Unternehmen die Weitergabe von Daten, wenn beide ein berechtigtes Interesse daran haben, das den Schutz der Daten überwiegt. Meta nennt den Schutz vor Fake-Accounts sowie Spam als berechtigtes Interesse.
Wer wissen möchte, welche Daten WhatsApp über einen selbst gesammelt hat, kann beim Messenger-Dienst gratis einen Bericht anfordern. Dafür öffnen Sie die App, gehen auf den Punkt Einstellungen, klicken auf Account und wählen Account-Info anfordern. Nach ungefähr drei Tagen erhalten Sie eine Zusammenfassung aller Daten, die WhatsApp gespeichert hat.
Wie kann man seine Daten schützen?
Bei WhatsApp ist es gar nicht so einfach, die Kontrolle über seine Daten zu behalten, da der Messenger-Dienst den Usern kaum Möglichkeiten zur Verwaltung selbiger gibt. Zumindest aber, was die für WhatsApp so interessanten Metadaten betrifft, können Nutzer einige Vorsichtsmaßnahmen ergreifen. Nebenbei schützt man diese auch vor neugierigen Blicken anderer WhatsApp-User, beispielsweise in Messenger-Gruppen.
Profilbild
Auch wenn es das persönliche Aushängeschild ist, so sollten Sie sich bewusst sein, dass das eigene Profilbild nicht nur von WhatsApp gespeichert wird, sondern auch von fremden Teilnehmern in Gruppenchats gesehen werden kann. Das lässt sich einfach ändern, in Sie bei Android über die drei Striche oben rechts – bei iOS über das Zahnrad – zu den Einstellungen navigieren, dann auf Account tippen und dort Datenschutz wählen. Unter Profilbild können Sie festlegen, wer das Profilbild sehen darf. Zur Auswahl stehen Jeder, Meine Kontakte und Niemand.Status, Lesebestätigung, Information und Onlinestatus
Wenn Sie im Menüpunkt Datenschutz in den Einstellungen sind, sollten Sie auch einmal einen Blick auf die weiteren Optionen werfen. Sie können wählen, wer sehen darf, dass Sie zuletzt online waren, und wer Ihren Status sowie Ihre Info lesen kann. Wer sich dort für Meine Kontakte oder Niemand entscheidet, verhindert zumindest, dass WhatsApp diese Informationen an andere User weitergibt.Standort
Ebenfalls unter Datenschutz findet sich die Einstellung für den Live-Standort. Wir empfehlen Ihnen, diesen zu deaktivieren, sofern Sie nicht Ihren Standort mit WhatsApp teilen wollen. Außerdem kann man in den Einstellungen des Mobiltelefons App-unabhängig dem Messengerdienst die Lizenz zum spionieren entziehen. Dafür navigieren Sie bei einem Androidsystem zu Einstellungen und wählen dort den Berechtigungsmanager oder App-Berechtigungen. Unter dem Menüpunkt Standort können Sie prüfen, welche Anwendung auf diesen zugreifen darf und diese entsprechend konfigurieren. Unter dem Apple-Betriebssystem finden Sie die Berechtigungen unter Einstellungen > Datenschutz > Ortungsdienste.Gruppen
Zu guter Letzt sollten Sie auch bezüglich der Gruppenaktivitäten bei WhatsApp einige Vorkehrungen treffen. Innerhalb des Menüpunktes Datenschutz können Sie beispielsweise einstellen, wer Sie zu WhatsApp-Gruppen hinzufügen kann. Damit Sie nicht jeder Nutzer in fremde Gruppen einladen und so Ihre Nummer ohne Einwilligung weitergeben kann, sollten Sie sich dort für Meine Kontakte entscheiden.
WhatsApp im Unternehmen nutzen
Generell gilt: WhatsApp ist zwar gratis, aber nicht kostenlos, denn Nutzer bezahlen den Service mit ihren Daten. Bei der Nutzung des Dienstes innerhalb eines Unternehmens muss man daher zwischen der betrieblich vorgegebenen und der privaten Nutzung unterscheiden.
Wenn Mitarbeiter den Messenger-Dienst persönlich und eigenverantwortlich für private Themen nutzen, interessiert es das europäische Datenschutzrecht nicht. Darunter fallen auch persönliche Aktivitäten wie die Organisation von Sportgruppen oder Geburtstagsgeschenken.
Gibt das Unternehmen hingegen WhatsApp als zusätzlichen Kommunikationskanal vor, greift bei jeder Kommunikation die DSGVO. Und dann wird es kniffelig. Denn obwohl die Kommunikation selbst auch bei WhatsApp verschlüsselt läuft, werden immer noch reichlich Metadaten übermittelt – unverschlüsselt. Und das lässt sich bei dem Nachrichtenservice auch nicht verhindern.
Das sind unter anderem Telefonnummer, Geräteinformationen, Art und Häufigkeit der Nutzung, IP-Adresse oder neuerdings auch die Meta-Messenger-ID (sofern auch der Meta-Messenger installiert ist). WhatsApp kann dadurch jederzeit nachvollziehen, wer mit wem von welchem Standort aus über welches Endgerät wie lange kommuniziert hat. Und das untersagt die DSGVO ganz deutlich. Unternehmen sollten daher auf den regulären WhatsApp-Messenger als internes Kommunikationsmittel verzichten.
WhatsApp im Unternehmen zu nutzen, ist nicht nur wegen der Verstöße gegen den Datenschutz eine schlechte Idee. Denn WhatsApp selbst verbietet die nicht-private Nutzung innerhalb der eigenen Datenschutzbedingungen. Im Falle einer betrieblichen Nutzung würden Unternehmen daher gegen die Vertragsbedingungen von WhatsApp verstoßen. Das kann Abmahnungen von Mitbewerbern und Datenschutzbehörden zur Folge haben, aber ebenso die Sperrung von WhatsApp und sogar Facebook-Konten.
WhatsApp Business im Unternehmen nutzen
Seit 2018 bietet WhatsApp eine Businessversion an. Verschiedene Tools sollen Kleinunternehmen und Selbstständigen den Austausch mit ihren Kunden erleichtern, dazu zählen automatisierte Antworten, spezielle Sortierfunktionen, Textbausteine, Produktkataloge sowie Öffnungszeiten.
Aber auch die Business-App-Lösung sorgt in Sachen Datenschutz und DSGVO für Unbehagen, denn sie garantiert beides nicht. Auch die Businessvariante greift auf die Daten des Telefonbuchs zu und spioniert diverse Metadaten seiner Nutzer aus. Außerdem kann die App nur auf dem Smartphone und von nur einem einzigen Mitarbeiter genutzt werden.
Geschäftliche Nutzung per Business API
Datenschutzbedenken zum Trotz: Laut einer Business Messaging Studie 2021 wünschen sich immer mehr Kunden, unkompliziert und schnell mit den Unternehmen ihrer Wahl zu kommunizieren. 85 Prozent gaben an, sehr gerne mit Firmen per WhatsApp in Kontakt treten zu wollen, 71 Prozent machen sogar ihre Kaufentscheidung vom Kommunikationskanal abhängig.
Wer aber als Unternehmen diesen Kommunikationskanal nutzen und dabei datenschutzkonform agieren will, muss auf die WhatsApp Business API zurückgreifen, die der Messenger-Dienst ebenfalls seit 2018 anbietet und die über Meta verknüpft wird.
Wenn Unternehmen WhatsApp für geschäftliche Zwecke nutzen möchten, sollten sie die Business API verwenden.
Der Nachteil: Diese Lösung ist kostenpflichtig und benötigt in der Regel einen sogenannten WhatsApp Business Solution Provider. Jener verbindet sozusagen Unternehmen und WhatsApp und schafft die technische Infrastruktur.
So können sich Unternehmen offizielle WhatsApp Business Accounts anlegen und kommunizieren, und zwar DSGVO-konform. Daneben kann man die Kommunikation an das unternehmenseigene CRM anschließen, sodass Gesprächsverläufe und Beratungshistorie jedem Kunden zugeordnet werden können.
Newsletter per WhatsApp
Seit Juni 2021 können Unternehmen über die WhatsApp API auch Newsletter und monothematische Aktionsmails versenden, was den Weg zum Kunden nochmals verkürzt.
Alternativen
Wenngleich WhatsApp immer noch zu den größten Playern zählt, so bieten sich auch für den privaten Austausch mittlerweile zahlreiche andere Messenger-Dienste an, die mehr Wert auf Datenschutz und Privatspähe legen. Wer als Unternehmen mit seinen Kunden per Nachrichten-App in Kontakt treten will, sollte sich für die kostenpflichtige Variante entscheiden oder auf einen anderen Kommunikationskanal ausweichen.
Um Mitarbeitern intern eine digitale Austauschplattform zu bieten, eignen sich beispielsweise Threema.Work oder teamwire. Alternativ empfiehlt es sich darüber nachzudenken, eine eigene Chat-App programmieren zu lassen, die genau auf die Sicherheitsbedürfnisse des Unternehmens zugeschnitten ist.
Fazit
WhatsApp bleibt einer der meistgenutzten Messenger-Dienste weltweit. Privatanwender sollten aber sich bewusst sein, dass die Metatochter es nicht sonderlich ernst mit Datenschutz und DSGVO meint. Was im privaten Bereich lediglich persönlich unangenehm ist, kann im beruflichen Einsatz schnell justiziabel werden. Für die Kommunikation innerhalb eines Unternehmens sollte man daher auf Alternativen setzen.
Wer die WhatsApp Business App für die externe Kundenkommunikation nutzen möchte, wird ebenfalls an den Hürden der DSGVO und des Datenschutzes scheitern. Einzig die kostenpflichtige API kann bedenkenlos von Unternehmen zur direkten Kundenkommunikation eingesetzt werden. Das allerdings erfordert ein gewisses Investment, was gerade für kleine Betriebe oft nicht lohnend ist.
FAQ
WhatsApp selbst nutzt eine Ende-zu-Ende Verschlüsselung, das heißt, die Daten werden lokal auf dem Gerät des jeweiligen Nutzers vor dem Versand verschlüsselt und erst beim Empfänger wieder entschlüsselt. So soll sichergestellt werden, dass andere Personen oder WhatsApp selbst die Nachrichten nicht mitlesen kann.
Allerdings sei der Konzern Meta (ehemals Facebook) laut einem Bericht der Non-Profit Nachrichtenseite ProRepublica sehr wohl in der Lage, Nachrichten seiner Nutzer zu lesen. Laut der investigativen Rechercheplattform beschäftige das Unternehmen Vertragsarbeiter in verschiedenen Ländern, die eine spezielle Facebook-Software nutzten, um private Nachrichten, Bilder und Videos zu sichten, die von WhatsApp-Nutzern als unangemessen gemeldet und in Folge von den KI-Systemen (Künstliche Intelligenz) des Unternehmens überprüft wurden.
Offiziell nicht. Allerdings gehört WhatsApp zum Meta-Konzern, ehemals Facebook und dieser verdient sein Geld mit Informationen über seine Nutzer. Daher ist es in seinem Interesse, auf die Nutzerinteressen abgestimmt Werbung auszuspielen. Das verhindert innerhalb der EU derzeit die Datenschutz-Grundverordnung (DSGVO). Außerdem hat die EU-Kommission verboten, dass WhatsApp und Facebook Daten austauschen. Hundertprozentig sicher sein kann man sich aber nicht, dass diese Vorgaben nicht umgangen werden.
Wer Fotos und Videos per WhatsApp Messenger versenden will, muss diesem auch den Zugriff darauf gewähren. Und da lohnt auch wieder einmal ein Blick in die Nutzungsbedingungen. Dort heißt es: "Damit wir unsere Dienste betreiben und bereitstellen können, gewährst du WhatsApp eine weltweite, nicht-exklusive, gebührenfreie, unterlizenzierbare und übertragbare Lizenz zur Nutzung, Reproduktion, Verbreitung, Erstellung abgeleiteter Werke, Darstellung und Aufführung der Informationen (einschließlich der Inhalte), die du auf bzw. über unsere/n Dienste/n hochlädst, übermittelst, speicherst, sendest oder empfängst. Die von dir im Rahmen dieser Lizenz gewährten Rechte beschränken sich auf den Zweck, unsere Dienste zu betreiben und bereitzustellen (...)". Im Klartext bedeutet das einen Freibrief für WhatsApp, der dem Unternehmen erlaubt, alle hochgeladenen Medien für interne Zwecke zu nutzen.
Gibt man WhatsApp als Kommunikationskanal innerhalb des Unternehmens vor, muss es sicherstellen, dass die DSGVO eingehalten wird. Das allerdings ist kaum zu bewerkstelligen, so dass man vom Messengerdienst als offizielle Austausch-Plattform abraten muss. Um mit Kunden in Kontakt treten zu können und den formellen Anforderungen der DSGVO zu genügen, können Unternehmen WhatsApp Business beziehungsweise die WhatsApp Business API nutzen.