Neue WhatsApp-AGB: Zustimmen oder nicht? Es kommt darauf an…
Die Meldungen zu den neuen WhatsApp-AGB und Datenschutzrichtlinien überschlagen sich derzeit, so dass zahlreiche Nutzer verunsichert sind. Und die Suche nach alternativen Messengern beginnt. Denn bis zum 8. Februar 15. Mai 2021 müssen sie sich entscheiden, ob sie in die neuen Nutzungsbedingungen zustimmen. So viel sei verraten: Es kommt darauf an…
Update: 17.01.2021, 19:30 Uhr
WhatsApp-Nutzer werden derzeit über eine Popup-Info darauf hingewiesen, dass die Datenschutzrichtlinie und die Nutzungsbedingungen für den WhatsApp Messenger angepasst wurden. Sie werden darin aufgefordert, bis zum 8. Februar 15. Mai 2021 ihre Zustimmung in die Änderung der Nutzungsbedingungen zu erteilen. Wer nicht zustimmt, wird den Messenger ab dem Stichtag nicht mehr nutzen können.
Was machte die deutschsprachige Medienlandschaft daraus?
Die Popup-Meldung führte bei vielen Nutzern zur Verwirrung darüber, was genau die Änderungen der WhatsApp-AGB und Datenschutzhinweise zu bedeuten haben. Dabei haben leider nur sehr wenige Berichte der bekannten Medien zur Aufklärung beigetragen. Stattdessen haben sie mit klickträchtigen Headlines um sich geschmissen, ohne sich mit wichtigen Gesichtspunkten auseinanderzusetzen.
Die folgenden Punkte im Zusammenhang mit den neuen WhatsApp-AGB kamen dabei zu kurz oder wurden gar nicht erwähnt:
- Wenn Du in der “Region Europa” lebst, werden Deine WhatsApp Dienste von der WhatsApp Ireland Limited bereitgestellt. Welche Länder zur “Region Europa” gehören, erfährst Du weiter unten im Artikel.
- Wenn Du nicht in der Region Europa lebst, werden Deine WhatsApp Dienste von WhatsApp LLC bereitgestellt.
- Dementsprechend existieren zwei verschiedene Versionen der Nutzungsbedingungen und Datenschutzrichtlinien. Darauf wurde in vielen Berichten zunächst nicht oder nur unzureichend hingewiesen. Die neuen Nutzungsbedingungen für die Region Europa findest Du hier, die neue Datenschutzrichtlinie hier. Die neuen Nutzungsbedingungen für Nutzer außerhalb von Europa findest Du hier und die neue Datenschutzrichtlinie für diese Nutzer ist hier zu finden.
- Wie Niamh Sweeney, Director of Policy bei WhatsApp, unter anderem über Twitter (Link) mitteilte, ändere sich für Nutzer in der Region Europa im Vergleich zu früher nichts. Weiterhin nutze Facebook die WhatsApp Account-Informationen nicht zur Anzeige personalisierter Werbung oder zur Verbesserung der Produkte.
- Vorhandene Sicherheitsmechanismen werden im Falle von WhatsApp teilweise verschwiegen. Die gleichen Mechanismen werden von denselben Medien dagegen als Argument für alternative Messenger wie Signal & Co. angeführt.
WhatsApp verschiebt die Deadline
[Update: 17.01.2021, 19:30 Uhr] Am 15. Januar 2021 gab WhatsApp im eigenen Blog (Link) bekannt, dass die Deadline für die Zustimmung in die angekündigten AGB-Änderungen auf den 15. Mai 2021 verschoben wird. Angesichts der undifferenzierten Berichterstattung zu diesem Thema (siehe oben) war dieser Schritt zu erwarten.
Wir haben von zahlreichen Leuten gehört, dass unsere letzten Aktualisierungen viel Verwirrung hervorgerufen haben. Eine Menge Fehlinformationen befinden sich in Umlauf, die Bedenken verursachen. Wir möchten dazu beitragen, dass jeder unsere Prinzipien und die Fakten verstehen kann.
WhatsApp ist aus einer einfachen Idee entstanden: Was du mit deinen Freunden und deiner Familie teilst, bleibt privat zwischen euch. Das bedeutet, dass wir deine persönlichen Chats immer mit Ende-zu-Ende-Verschlüsselung schützen werden, was heißt, dass weder WhatsApp noch Facebook diese privaten Nachrichten lesen können. Aus demselben Grund bewahren wir keine Protokolle dazu auf, mit wem jeder Nachrichten austauscht oder wen er anruft. Außerdem können wir deinen geteilten Standort nicht sehen und teilen deine Kontakte auch nicht mit Facebook.
Mit diesen Aktualisierungen wird nichts daran geändert. Stattdessen enthalten diese Aktualisierungen neue Optionen, über die Personen mithilfe von WhatsApp Nachrichten an Unternehmen senden können. Die Änderungen erhöhen die Transparenz dazu, wie wir Daten erfassen und verwenden. Obwohl heute noch nicht viele über WhatsApp bei Unternehmen einkaufen, glauben wir daran, dass sich in Zukunft immer mehr dazu entschließen werden. Daher ist es wichtig, über diese Services zu informieren. Diese Aktualisierungen geben uns keinerlei zusätzliche Berechtigungen, Daten mit Facebook zu teilen.
Quelle: WhatsApp
Hintergrund ist, dass das Unternehmen jetzt zunächst einmal der “Verwirrung” entgegenwirken wolle, die in Bezug zu dem angeblichen Datenaustausch mit Facebook entstanden sei. Man werde “viel mehr unternehmen”, um Fehlinformationen aufzuklären:
Wir haben nun beschlossen, das Datum, an dem Benutzer gebeten werden, die Nutzungsbedingungen zu lesen und zu akzeptieren, weiter nach hinten zu verschieben. Kein Account wird am 8. Februar gesperrt oder gelöscht. Wir werden auch noch viel mehr unternehmen, um die Fehlinformationen rund um das Thema, wie Datenschutz und Sicherheit bei WhatsApp funktionieren, aufzuklären. Wir werden dann unsere Benutzer nach und nach bitten, die Richtlinie nach eigener Zeitvorgabe zu lesen, bevor die neuen Optionen für die Kommunikation mit Unternehmen am 15. Mai verfügbar werden.
WhatsApp hat dabei geholfen, Ende-zu-Ende-Verschlüsselung für Menschen auf der ganzen Welt einzuführen, und wir verteidigen diese Sicherheitstechnologie mit voller Hingabe – jetzt und auch in Zukunft. Wir möchten allen danken, die sich an uns gewendet haben, und auch den vielen Menschen, die dabei geholfen haben, Fakten zu verbreiten und Gerüchte zu stoppen. Wir werden weiterhin unsere ganze Kraft darin investieren, WhatsApp zur besten Option zu machen, vertraulich und privat zu kommunizieren.
Quelle: WhatsApp
Werden meine Daten durch Facebook für Werbung “weiterverarbeitet”?
Damit wären wir bei der Gretchenfrage angekommen, was mit den WhatsApp-Daten innerhalb des Facebook-Konzerns geschieht. Hierauf geht WhatsApp auf der eigenen FAQ-Seite recht umfassend ein und widerspricht zwei Behauptungen ausdrücklich:
- “Facebook verarbeitet meine WhatsApp-Daten für Werbeanzeigen weiter” und
- “Die Daten meiner Kontakte werden mit Facebook geteilt.”
Um den Rahmen dieses Beitrags nicht zu sprengen, folgen an dieser Stelle nur zwei wichtige Auszüge:
Wir teilen keine Daten, um sie für die Verbesserung der Facebook-Produkte auf Facebook zu nutzen oder relevantere Werbeerlebnisse auf Facebook zu bieten.
Derzeit nutzt Facebook deine WhatsApp Account-Informationen nicht dazu, deine Produkterlebnisse auf Facebook zu verbessern oder dir interessantere Facebook-Anzeigen zu zeigen. Das ist das Ergebnis von Diskussionen mit der irischen Datenschutzbehörde und anderen Datenschutzbehörden in Europa. Wir arbeiten ständig an neuen Möglichkeiten zur Verbesserung deines Nutzererlebnisses auf WhatsApp und anderen von dir verwendeten Produkten der Facebook-Unternehmen. Falls wir uns zukünftig entscheiden, solche Daten zu diesem Zweck mit den Facebook-Unternehmen zu teilen, erfolgt das nur dann, wenn der Leiter der irischen Datenschutzbehörde einem Mechanismus zustimmt, der eine solche Nutzung ermöglicht. Wir werden dich über neue Erlebnisse, die wir anbieten, sowie unsere Informationspraxis auf dem Laufenden halten.
Wessen WhatsApp Informationen werden zu diesen Zwecken mit den Facebook-Unternehmen geteilt?
Wir teilen Informationen jedes WhatsApp Benutzers, der unsere Dienste nutzen möchte. Dazu gehören unter Umständen auch die WhatsApp Benutzer, die Facebook nicht nutzen, da wir in der Lage sein müssen, Informationen zu all unseren Benutzern zu teilen, um nützliche Dienste von den Facebook-Unternehmen erhalten und die wichtigen Ziele erfüllen zu können, die in unserer Datenschutzrichtlinie und diesen FAQ näher beschrieben sind.
In jedem Fall teilen wir nur so wenig Informationen wie nötig, um diese Ziele erfüllen zu können. Wir stellen außerdem sicher, dass sich die von uns geteilten Informationen auf dem neuesten Stand befinden, sodass, wenn du beispielsweise beschließt, deine WhatsApp Telefonnummer zu aktualisieren, diese Nummer auch von den Mitgliedern der Facebook-Familie, die sie von uns erhalten haben, aktualisiert wird.
Wir möchten ausdrücklich betonen, dass WhatsApp deine WhatsApp Kontakte nicht mit Facebook oder anderen Mitgliedern der Facebook-Unternehmen teilt, damit diese sie für eigene Zwecke nutzen können, und auch nicht vorhat, das zu tun.
Alle weiteren Informationen sind auf der FAQ-Seite zu finden.
Nicht jeder alternative Messenger ist zwingend besser
Sowohl WhatsApp als auch Signal speichern übrigens nicht die Telefonnummern Deiner Kontakte, die WhatsApp noch nicht nutzen. Stattdessen bilden beide Dienste aus den Telefonnummern sogenannte einzigartige Hashwerte und legen (anstelle der Telefonnummern) diese Hashwerte auf dem Server ab. Hashwerte sind Prüfsummen bzw. Buchstaben-Zahlen-Folgen, die jeweils aus dem zu prüfenden Inhalt selbst errechnet werden. WhatsApp beschreibt das Verfahren zum Hochladen der Kontakte wie folgt:
Wenn einer oder mehrere deiner Kontakte WhatsApp noch nicht verwenden, verwalten wir diese Informationen für dich in einer Form, in der sichergestellt ist, dass solche Kontakte nicht identifiziert werden können. Wir speichern diese Telefonnummern nicht und verarbeiten sie nur für kurze Zeit, um kryptografische Hash-Werte zu erstellen, mit denen wir effizienter eine Verbindung zwischen dir und diesen Kontakten herstellen können, wenn diese WhatsApp beitreten. Du kannst die Funktion zum Hochladen von Kontakten in den Einstellungen deines Geräts steuern.
Quelle: WhatsApp
Den Hinweis auf dieses Hash-Verfahren bei WhatsApp wirst Du in den wenigsten aktuellen Beiträgen finden. Dieselben Beiträge verweisen aber u.a. auf alternative Messenger wie Signal und heben das Hash-Verfahren dieser Anbieter besonders hervor, da es datenschutzfreundlich sei.
Allerdings wird die vermeintliche Sicherheit des Hash-Verfahrens seit Jahren kritisiert; auch hierzu wirst Du in den meisten Mainstream-Medien nichts lesen. Mike Kuketz war so nett, in einem seiner Beiträge aus dem Jahr 2017 zu berechnen, wie viel Zeit ein Angreifer mit acht GTX 1080 Grafikkarten und dem Tool Hashcat investieren müsste, um sog. Rainbow-Tabellen zu berechnen, mit deren Hilfe eine Zuordnung von Telefonnummern zum jeweiligen Hashwert vorgenommen werden kann:
- MD5: 83 Minuten
- SHA-1: 4 Stunden
- SHA-256: 12 Stunden
- SHA-512: 32 Stunden
- SHA-3: 42 Stunden
- scrypt: 9 Jahre
- PBKDF2-HMAC-SHA512: 9 Jahre
Wie definiert WhatsApp die “Region Europa”?
Zu Beginn der eiligen Berichterstattung vermittelten viele Online-Magazine den Eindruck, die Definition der “Region Europa” sei nicht ganz eindeutig, weil WhatsApp seine Nutzer hierüber im Unklaren lasse. Dem ist und war jedoch nicht so, tatsächlich grenzt WhatsApp die Region Europa auf ihrer eigenen Infoseite nachvollziehbar von dem Rest der Welt ab. Demnach gehören zur Region Europa die folgenden Länder:
Andorra, Azoren, Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Französisch-Guayana, Griechenland, Großbritannien und souveräne britische Stützpunkte in Zypern (Akrotiri und Dhekelia), Guadeloupe, Irland, Island, Isle of Man, Italien, Kanalinseln, Kanarische Inseln, Kroatien, Lettland, Liechtenstein, Litauen, Luxemburg, Madeira, Malta, Martinique, Mayotte, Monaco, Niederlande, Norwegen, Österreich, Polen, Portugal, Republik Zypern, Réunion, Rumänien, Saint-Martin, San Marino, Schweden, Schweiz, Slowakei, Slowenien, Spanien, Tschechische Republik, Ungarn und Vatikanstadt.
Neue WhatsApp-AGB: Zustimmen oder nicht?
Dieser Beitrag soll weder die Datenschutzpolitik von WhatsApp (Facebook) relativieren noch eine konkrete Empfehlung für oder gegen den WhatsApp-Messenger aussprechen. Vor allem in Bezug auf die Transparenz und den Umgang mit Metadaten ist bei WhatsApp noch viel Luft nach oben. Du weißt nicht, was Metadaten sind? Hier eine kurze Erklärung: Metadaten sind Daten, die Informationen über “andere Daten” enthalten und diese quasi beschreiben. Nachrichten, E-Mails, Fotos oder Telefonate haben zum Beispiel Metadaten. Dabei geht es nicht um die Inhalte der Nachrichten oder Telefonate, weil sie verschlüsselt sind, sondern um die Infos wie etwa den Zeitpunkt oder Ort, zu die Nachricht verschickt wurde oder den Empfänger. Auch diese Art von Daten verraten eine Menge über uns!
Daher sollten Nutzer von Messenger-Diensten deren Datenschutzrichtlinien ganz grundsätzlich aufmerksamer lesen. Seien es die Richtlinien von WhatsApp, Signal, Telegram, Threema oder anderer Messenger. Hilfreich ist in diesem Zusammenhang übrigens auch die von Mike Kuketz bereitgestellte Matrix in Bezug auf alternative Messenger (Link).
Hast Du Dir eigentlich schon die Datenschutzhinweise von Instagram (ebenfalls ein Facebook-Unternehmen) näher angeschaut? Nicht? Hier ein ganz kleiner Vorgeschmack darauf, welche Deiner Daten in diesem Moment von Facebook verarbeitet werden:
Die Informationen, die wir von diesen Geräten erhalten, beinhalten:
- Geräteattribute: Informationen wie das Betriebssystem, Hardware- und Software-Versionen, Batteriestand, Signalstärke, verfügbarer Speicherplatz, Browsertyp, App- und Dateinamen und -arten sowie Plugins.
- Vorgänge auf dem Gerät: Informationen über die auf dem Gerät durchgeführten Vorgänge und Tätigkeiten, beispielsweise ob sich ein Fenster im Vordergrund oder Hintergrund befindet oder Mausbewegungen (das kann dabei helfen, Menschen von Robotern zu unterscheiden).
- Identifikatoren: Eindeutige Identifikatoren, Geräte-IDs und sonstige Identifikatoren, wie solche von Spielen, Apps oder Konten, die du nutzt, und Familiengeräte-IDs (oder sonstige Identifikatoren, die für die mit demselben Gerät oder Konto verknüpften Produkte der Facebook-Unternehmen eindeutig sind).
- Gerätesignale: Bluetooth-Signale und Informationen über WLAN-Zugangspunkte, Beacons und Funkzellentürme in der Nähe.
- Daten aus den Geräteeinstellungen: Informationen, deren Erhalt du uns durch die von dir aktivierten Geräteeinstellungen gestattest, wie den Zugriff auf deinen GPS-Standort, deine Kamera oder Fotos.
- Netzwerk und Verbindungen: Informationen wie der Name deines Mobilfunk- oder Internetanbieters, die Sprache, Zeitzone, Mobiltelefonnummer, IP-Adresse oder Verbindungsgeschwindigkeit und in einigen Fällen Informationen über andere in der Nähe oder in deinem Netzwerk befindliche Geräte, damit wir dich dabei unterstützen können, beispielsweise ein Video von deinem Telefon auf deinen Fernseher zu streamen.
- Cookie-Daten: Daten von auf deinem Gerät gespeicherten Cookies, einschließlich Cookie-IDs und ‑Einstellungen. Erfahre in der Facebook-Cookie-Richtlinie und der Instagram-Cookie-Richtlinie mehr darüber, wie wir Cookies verwenden.
Zusammenfassung
WhatsApp wird laut Aussage der WhatsApp-Verantwortlichen ab dem 8. Februar 2021 für Nutzer in der Region Europa datenschutzrechtlich weder schlimmer noch besser. Da die deutschsprachige Datenschutzerklärung von WhatsApp an einigen Stellen widersprüchlich bzw. ungenau ist, lässt sich dies aus der Sicht eines Außenstehenden aktuell schwierig beurteilen. Das heißt: WhatsApp wird für Dich nicht plötzlich “gefährlicher”, WhatsApp ist und bleibt datenschutzrechtlich bedenklich!
Und: Nicht alle alternativen Messenger sind zwingend besser. Bevor Du also WhatsApp von Deinem Smartphone deinstallierst und z. B. Telegram installierst, solltest Du Dich zunächst über die Vor- und Nachteile der Alternativen informieren.
Quellen: WhatsApp, Kuketz-Blog, eigene Recherche
Bildnachweis: HeikoAL, pixabay.com; Alok Sharma von Pexels