> Datenschutzgesetz

Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?

twitter-292993_640Wie WhatsApp am 05.04.2016 verkündete, wären nun alle Nachrichten, Bilder und Dateien, die über den Nachrichtendienst verschickt werden, auf dem kompletten Weg vom Absender bis zum Empfänger zu schützen.

Die End-to-End-Encryption (E2EE) oder zu deutsch Ende-zu-Ende-Verschlüsselung werde aktiv, wenn beide WhatsApp-Nutzer die neueste Version der App verwenden. Diese Verschlüsselungstechnik war bisher nur für Android-Nutzer verfügbar. Nach Aussagen des Unternehmens haben dadurch weder Dritte noch WhatsApp selbst Möglichkeiten die Nachrichten zu lesen.

Funktionsweise der E2E-Technik?

Einfach gesagt können bei einer End-to-End-Verschlüsselung nur Sender und Empfänger den Inhalt einer Datei entziffern, da lediglich sie die Informationen (Schlüssel) zum Entschlüsseln besitzen. Dritte, die einen Dateiverlauf  „hacken“, sind prinzipiell nur in der Lage zu erkennen, wer mit wem kommuniziert. Einen Schlüssel zum Entschlüsseln des Inhalts aber müsste ein Überwacher errechnen. Heutige kryptografische Systeme sind so konzipiert, dass dies so gut wie unmöglich ist beziehungsweise sehr lange Zeit in Anspruch nehmen würde.

Wie ist zu erkennen, ob die Verschlüsselung aktiv ist?

Schloss - Verschluesselung Whatsapp - Ende zu EndeDer Aufbau der verschlüsselten Verbindung und des notwendigen Schlüsselaustauschs erfolgt komplett im Hintergrund. Ob ein Chat verschlüsselt ist oder nicht, können Nutzer allerdings erkennen. WhatsApp weist in der Übergangsphase  mit dem Text „Nachrichten, die Sie in diesem Chat senden, sowie Anrufe, sind jetzt mit Ende-zu-Ende-Verschlüsselung geschützt.“ auf den Beginn von verschlüsselten Chats hin. Zudem zeigt ein Schloss-Symbol in den Einstellungen jedes Chats, ob dieser verschlüsselt ist oder nicht.keine Verschluesselung Whatsapp

Letzteres kann passieren, wenn „die Person am anderen Ende“ noch eine ältere WhatsApp-Version verwendet. In Gruppenchats ist es bereits ausreichend, dass ein Mitglied über eine ältere („veraltete“) Version verfügt, damit die Ende-zu-Ende-Verschlüsselung für den gesamten Chat nicht möglich. WhatsApp-Nutzer werden daher auf diesem Wege dazu angehalten immer ein Update auf die aktuelle Version durchzuführen. Dies kann sich positiv, aber auch negativ für Nutzer auswirken.Sicherheitscode Whatsapp Verschluesselung-Android

Des Weiteren können WhatsApp-Nutzer bestätigen, ob sie wirklich mit dem gewünschten Gegenüber kommunizieren. Dazu haben beide einen sogenannten einmaligen Sicherheitscode, in der Form eines QR-Codes, der durch den Chatpartner gescannt werden kann. Alternativ existiert eine 60-stellige Nummer, die verglichen werden kann, sollte das Scannen des Codes nicht möglich sein. Das Bestätigen des Chatpartners soll den Nutzern zusätzliche Sicherheit, z. B. bei Diebstahl der SIM-Karte, geben. Passiert dies einem Chatpartner und ein Fremder verifiziert sich mit der Nummer in WhatsApp, so sind die alten Inhalte zum einen nicht ersichtlich, zum anderen kann man sich anzeigen lassen, ob sich die Sicherheitsnummer geändert hat.

Verschlüsselung nur eine Geste?

Das Programm das WhatsApp zur Verschlüsselung nutzt ist ein Open-Source-Tool, d. h. der Quellcode ist theoretisch für JEDEN offen lesbar und kann somit von externen Spezialisten auf versteckte Hintertüren überprüft werden.

Zum Schutz der WhatsApp-Nutzer vor Hackerangriffen verwendet das Open Source-Protokoll Forward Secrecy. Hierdurch werden kurzlebige Schlüssel zum Absichern jeder einzelnen Nachricht verwendet. Ein Überwacher, der WhatsApp-Nachrichten irgendwie mitschneidet, speichert und dann auch noch in den Besitz des Schlüssels eines Teilnehmers gelangt, soll damit weder alte Chats nachträglich, noch künftige Chats entschlüsseln können.

Trotz Verschlüsselung bleiben Datenschutzlücken

Kritische Stimmen bleiben. Hierbei geht es um die Natur des Programms selbst. Mit Installation des Programms wird der Zugriff auf die gespeicherten Telefonnummern in Smartphones ermöglicht und diese werden unverschlüsselt an die WhatsApp-Server in Californien (USA) weitergegeben. Auch wenn niemand die Inhalte der Nachrichten einsehen kann, ist es möglich Nutzungsprofile zu erstellen und auszuwerten.

Weiterhin ist zu bemängeln, dass beim Nutzen zunächst die Handynummer unverschlüsselt an die Server übermittelt wird, während WhatsApp die Identität abrufen kann. Für eine Weitergabe der Daten wäre nach EU-Datenschutzrecht -streng genommen- die Zustimmung jedes Kontakts des jeweiligen Nutzers notwendig, ehe auch dessen Daten an WhatsApp weitergegeben werden. Das Problem besteht hier weniger bei angemeldete WhatsApp-Nutzern, sondern liegt vielmehr bei den Rufnummern (sog. personenbezogenes Datum) und damit verknüpft den dadurch identifizierbaren Personen, die WhatsApp NICHT NUTZEN (möchten).

Ebenfalls ließe sich argumentieren, dass nach der Abschaffung des Safe-Harbor-Abkommens für die Weitergabe der Daten in die USA eine Vorabgenehmigung der zuständigen nationalen Datenschutzbehörde nötig sei.

Die Alternative sind Messenger, die europäische Server mit schärferem Datenschutzrecht nutzen oder solche Messenger, die nicht auf Telefonnummern angewiesen sind.

Inwiefern nutzen Sie innerhalb Ihrer Verantwortlichen Stelle/n (Unternehmen, Firma, Konzern, Verein, Körperschaft des öffentlichen Rechts …) WhatsApp zur Kommunikation mit oder durch Angestellte, Mitarbeiter, Beamte, … oder auch Praktikanten oder können dies zumindest nicht ausschließen?

Falls Sie bereits einen Datenschutzbeauftragten haben, lassen sie sich hierzu von diesem beraten…

…ansonsten nehmen Sie Kontakt, fordern Sie ein kostenloses Angebot zum Datenschutz an und klären Sie durch professionelle Beratung alle Fragen rund um das Thema Datenschutz, z. B. um die WhatsApp-Verschlüsselung oder den Einsatz sonstiger Messanger.

Datenschutzbeauftragter Österreich / Datenschutz in österreichischen Unternehmen – das Datenschutzgesetz 2000 (DSG 2000)

Die Globalisierung tangiert Individuen, Gesellschaften, Institutionen und Staaten unter anderem in den Bereichen Politik und Wirtschaft. Es ist daher mehr als verständlich, dass sie auch Auswirkungen auf die Einhaltung des Datenschutzes in verflochtenen Unternehmen hat, die es zu beachten gilt. In Deutschland regelt insbesondere das Bundesdatenschutzgesetz (BDSG) den Umgang mit personenbezogenen Daten. Sofern die entsprechenden Voraussetzungen erfüllt werden, ist ein Datenschutzbeauftragter nach § 4f BDSG zu bestellen. Aber auch ohne die Verpflichtung zur Bestellung eines Datenschutzbeauftragten müssen die Bestimmungen des Datenschutzes eingehalten werden. Doch wie sieht die Situation bei den österreichischen Nachbarn aus?

Rechtsgrundlagen

In Österreich besteht das Grundrecht auf Datenschutz. Das Datenschutzgesetz 2000 (DSG 2000) regelt den Schutz personenbezogener Daten. Österreich setzt damit die Richtlinie 95/46/EG der Europäischen Gemeinschaft  zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in nationales Recht um. Darüberhinaus können weitere Gesetze Anwendung finden, so z. B. das Gesundheitstelematikgesetz 2012 (GTelG 2012) bei der Verwendung personenbezogener elektronischer Gesundheitsdaten durch Gesundheitsdiensteanbieter.

Relevanz des Datenschutzgesetzes 2000 (DSG 2000)

Das DSG 2000 regelt den Schutz personenbezogener Daten und enthält Maßnahmen zur Datensicherheit. Die Einhaltung / Wahrung des Datenschutzes kontrollierten und steuerten die Österreichische Datenschutzkommission und der Datenschutzrat bis zum Ende des Jahres 2013. Die Datenschutzbehörde löste dann zum 01. Januar 2014 die Datenschutzkommission ab. Darüberhinaus haben auch Bürger die Möglichkeit zivilrechtlich gegen Verstöße vorzugehen, um beispielsweise die Richtigstellung bei fehlerhaften Daten einzuklagen.

Datenschutzbeauftragter Österreich

Anders als durch das Bundesdatenschutzgesetz in Deutschland existiert die Funktion des Datenschutzbeauftragten nach dem Datenschutzgesetz 2000 in Österreich nicht. Es ist daher kein (externer) Datenschutzbeauftragter Österreich zu bestellen, die Aufgaben zum Datenschutz sollten aber klar verteilt werden. Bestellen Sie doch einfach einen (externen) Datenschutzkoordinator, (externen) Datenschutzmanager oder (externen) Datenschutzberater. Das DSG 2000 sieht eine Regelung zur Verarbeitung und Weitergabe von Daten vor.

Datenverarbeitungsregister

So ist ein Datenverarbeitungsregister durch die Datenschutzbehörde zum Zweck der Information der Betroffenen zu führen, § 16 Abs. 1 DSG 2000.  Logischerweise muss durch die betroffenen Unternehmen eine Meldung erfolgen (Meldepflicht), der hierfür vorgesehene Weg ist die elektronische Meldung, nach § 17 Abs. 1a DSG 2000 gewöhnlich an die durch den Bundeskanzler bereit zu stellende Internetanwendung.

Schadensersatz und Strafen

Schadensersatz

Nach einem Urteil des Obersten Gerichtshofs (OGH) ist zivilrechtlich die Geltendmachung eines Schadens nach § 33 DSG 2000 möglich und einklagbar. Darüberhinaus sind Klagen von Mitbewerbern, z. B. nach § 1 UWG, denkbar.

Strafgerichtliche Bestimmungen

Sofern andere Gesetze keine strengere Strafe vorsehen, sieht das DSG 2000 eine Freiheitsstrafe von bis zu einem Jahr nach § 51 DSG 200 bei der Datenverwendung in Gewinn- und Schädigungsabsicht vor. In anderen Fällen können Freiheitsstrafen von bis zu 5 Jahren verhangen werden.

Verwaltungsstrafbestimmungen

Nach § 52 DSG 2000 ist in Österreich mit Geldstrafen von bis zu 10.000 bzw. bis zu 25.000 Euro zu rechnen.

Ihr Weg zum Angebot „Datenschutzbeauftragter Österreich“

Variante 1 – persönlicher Kontakt auf Wunsch mit Rückrufservice

Nehmen Sie direkten Kontakt mit Ihrem persönlichen Ansprechpartner auf, ganz nach Ihren Wünschen auch mit Rückrufservice.

Variante 2 – Fragebogen ausfüllen, übersenden, Angebot erhalten

Als Alternative zum persönlichen Kontakt haben Sie die Möglichkeit den Fragebogen zum Datenschutz-Angebot ausgefüllt an uns zu übersenden. Wir senden Ihnen umgehend Ihr unverbindliches Angebot zu und setzen uns für Rückfragen direkt mit Ihnen in Verbindung.