Datenweitergabe an „Datenkrake“ Facebook – Wie WhatsApp Datenschutz-Risiken erhöht

Facebook Datenschutz

Das Thema „ WhatsApp Datenschutz “ sehen Datenschützer und Datenschutzbeauftragte schon seit Jahren sehr kritisch, insbesondere die Übernahme durch Facebook vor etwa zwei Jahren besorgte viele Experten sowie Nutzer. „Es wird keinen Datenaustausch von Kundendaten zwischen WhatsApp und Facebook geben.“, so oder so ähnlich beruhigte WhatsApp-Gründer Jan Koum besorgte WhatsApp-Nutzer nach der Übernahme. Er berichte von seiner Kindheit, die er in der damaligen UdSSR verbrachte und erinnerte sich an die Worte seiner Mutter am Telefon: „Das erzähle ich dir nur von Angesicht zu Angesicht, nicht jetzt.“.

Diese Worte sind allerdings Vergangenheit, denn spätestens gestern ist gezwungenermaßen genau das eingetroffen, wovor so viele Nutzer Angst hatten. WhatsApp teilt Account-Informationen mit Facebook und den anderen Unternehmen in der Facebook-Unternehmensgruppe, wie Instagram. In der Datenschutz-Richtlinie steht: „Als Teil der Facebook-Unternehmensgruppe erhält WhatsApp Informationen von den Unternehmen dieser Unternehmensgruppe und teilt Informationen mit ihnen.“ Ein Austausch von Kundendaten zwischen WhatsApp und Facebook und die Berührung datenschutzrechtlicher Bestimmungen scheint klar.

Ihr externer Datenschutzbeauftragter informiert, wieso Privatpersonen und „verantwortliche Stellen“ (Unternehmen, Behörden, Vereine usw.) das Thema „ WhatsApp Datenschutz “ nicht außer Acht lassen sollten.

WhatsApp Datenschutz – Facebook-Unternehmensgruppe als „Datenkrake“

Machte WhatsApp mittels Ende-zu-Ende-Verschlüsselung vor einigen Monaten noch einen großen Schritt nach vorne in Richtung Datenschutz und Datensicherheit, so ist die beliebte App mit der Datenweitergabe von Kundendaten sehr weit zurückgefallen. Die geänderte Nutzungsvereinbarung war für viele Nutzer ein Schock.

Welche Informationen werden mit Facebook geteilt?

WhatsApp soll Informationen, wie die Telefonnummer an Facebook weitergeben. Zudem soll WhatsApp mitteilen, wann der Nutzer auf WhatsApp aktiv war. Andere Account-Informationen, wie das Profilfoto oder die Statusmeldungen möchte man im Moment nicht teilen, wobei sich die Nutzer fragen sollten, wie schnell sich dies ändern könnte.

Können sich WhatsApp-Nutzer schützen?

Bestehenden Nutzern räumte man bis zum 25.09.2016 die Möglichkeit ein, sich vor der personalisierten Werbung und den Freundschaftsempfehlungen, mittels WhatsApp-Account-Informationen, zu schützen, wobei dies auf zwei Wegen funktionierte. Hatten bestehende Benutzer der neuen Nutzungsvereinbarung noch nicht zugestimmt, so konnten sie über „Lies“ das Häkchen in der Vereinbarung, das die Verwendung erlaubt, entfernen. Hatte man der Nutzungsvereinbarung bereits zugestimmt, so konnte man in WhatsApp unter Einstellungen -> Account -> Meine Account-Info teilen – je nach Gerätetyp –  das Häkchen entfernen oder den Schieberegler umschalten. Neuen WhatsApp-Nutzern wurde diese Möglichkeit allerdings nicht gewährt.

Achtung! WhatsApp-Nutzer sollten allerdings beachten, dass sie zwar der Werbung widersprochen haben, allerdings die Daten trotzdem an Facebook weitergegeben werden. WhatsApp schreibt auf der Homepage: „Die Facebook-Unternehmensgruppe wird diese Information trotzdem erhalten und für andere Zwecke, wie Verbesserung von Infrastruktur und Zustellsystemen, des Verstehens der Art der Nutzung unserer bzw. ihrer Dienste, der Absicherung der Systeme und der Bekämpfung von Spam, Missbrauch bzw. Verletzungshandlungen.“

Die neue Nutzungsvereinbarung und die Tatsache, dass sich Nutzer letztendlich nicht gegen die Weitergabe schützen können, alarmiert nicht nur die Benutzer selbst, sondern zahlreiche Datenschutzbeauftragte, Datenschützer und die EU-Kommission. Auch ging bereits eine Klage bei der Federal Trade Commission (Verbraucherschutzbehörde) von US-Datenschützern ein.

„ WhatsApp Datenschutz “ – Was sollten „verantwortliche Stelle“ beachten?

WhatsApp FacebookImmer häufiger findet WhatsApp Verwendung innerhalb der sogenannten „verantwortlichen Stellen“, als Kommunikationskanal oder als Marketing-Instrument. Allerdings sind die Risiken für die Unternehmen, Behörden, Vereine, Stiftungen bzw. sonstige verantwortliche Stellen um ein Vielfaches höher als die bei reinen Privatpersonen der Fall sind. Auf der Hand liegt, dass Organisationen über deutlich mehr sensible Daten, wie Betriebsgeheimnisse und personenbezogene Daten von Kunden, Mitarbeitern und sonstigen Betroffenen verfügen dürften.

Das erhöhte Risiko für „verantwortliche Stellen“ existierte allerdings bereits vor der Weitergabe der Daten an Facebook, da bereits die Übermittlung an WhatsApp problematisch ist.

Im Installationsprozess von WhatsApp, spätestens aber mit dem Einsatz der App, greift diese auf die gespeicherten Telefonnummern in Smartphones bzw. die Inhalte der Kontakte bzw. Visitenkarten zu. Diese (personenbezogenen) Daten werden dann nicht legitimiert an die WhatsApp-Server in Kalifornien (USA) weitergegeben. Nicht legitimiert, weil eine Datenübermittlung durch das Bundesdatenschutzgesetz (BDSG) nur auf Basis einer Rechtsgrundlage oder auf informierten Einwilligungen der Betroffenen erfolgen darf. Zudem handelt es sich um eine Datenübermittlung in ein Drittland (außerhalb der europäischen Union (EU) und des europäischen Wirtschaftsraums (EWR)) ohne angemessenes Datenschutzniveau.

Eine datenschutzkonforme Übermittlung wäre deshalb nur möglich, wenn zum einen das Datenschutzniveau, beispielsweise durch Abschluss von EU-Standardvertragsklauseln, hergestellt wird oder informierte und freiwillige Einwilligungen eines jeden Kontakts im Telefonbuch eingeholt werden. Die Tatsache, dass WhatsApp nun erste Informationen mit Facebook austauscht, könnte zudem zu weiteren Risiken führen, da –wie bereits angedeutet  – regelmäßig deutlich mehr Informationen  innerhalb eines Kontakts hinterlegt sind. Vor zwei Jahren war von einer Datenweitergabe keine Rede, daher muss sich gefragt werden, in welche Richtung sich der Konzern weiter bewegen wird.

Insbesondere für „verantwortliche Stellen“, die eine Privatnutzung von dienstlichen Smartphones oder den dienstlichen Einsatz von privaten Endgeräten erlauben, besteht ein erhöhtes Risiko. Mitarbeiter könnten Apps, unter anderem WhatsApp oder Facebook, installiert haben und personenbezogene Daten nicht legitimiert an Unternehmen in Drittländern übermitteln. Aus diesem Grund sollten klare Regelungen innerhalb einer Organisation respektive verantwortlichen Stelle getroffen werden.

Fazit

Grundsätzlich ist sowohl Privatpersonen als auch „verantwortlichen Stellen“ anzuraten, auf den Einsatz von WhatsApp zu verzichten und auf Messenger zurückzugreifen, deren Anbieter ihren Sitz innerhalb der EU/der EWR haben.

Der Grund ist zum einen, dass das Datenschutzrecht innerhalb der EU/des EWR, mittels EU-Richtlinie, harmonisiert ist. Ein weiterer Grund für „verantwortliche Stellen“ ist, dass per BDSG eine Ausnahmeregelung für Auftragsdatenverarbeitungen, gemäß § 11 BDSG, existiert, die als „Nicht-Übermittlung“ eingestuft wird und das Einholen von informierten Einwilligungen nicht erfordert. Hat der Anbieter seinen Sitz innerhalb der EU/EWR, so können in dem meisten Fällen – nach einer Prüfung durch den Datenschutzbeauftragten extern / intern – Verträge zur Auftragsdatenverarbeitung abgeschlossen werden. Bei einer Übermittlung personenbezogener Daten an einen Anbieter außerhalb der EU- / EWR-Staaten, wie WhatsApp, ist die Vorgehensweise schwieriger sowie mit mehr Aufwand und mit vielen Risiken verbunden.

Haben Sie weitere Fragen zu dem Thema “ WhatsApp Datenschutz ” oder allgemein zu „Datenschutz bei Apps“? Möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.