Datenschutz bei Apps auf Smartphone und Co.
Auf den ersten Blick klingt dies alles sehr kompliziert und umständlich. In der Praxis lassen sich aber häufig viele Fragen sehr einfach und schnell beantworten und es bestehen keine besonderen Hürden beim Einsatz von Apps aus Sicht des Datenschutzes. Die Herausforderung besteht darin zu erkennen, wann die Nutzung einer App datenschutzrechtlich unproblematisch ist und wann doch möglicherweise besonderer Klärungsbedarf besteht – damit es später kein böses Erwachen gibt. Denn häufig steckt der Teufel im Detail. Dann hilft vor allem eines: Erfahrung.
Wir unterstützen unsere Mandanten seit vielen Jahren, damit Compliance nicht zum Hemmschuh der Digitalisierung wird. Auch mobile Applikationen auf Smartphones und Tablets bieten Unternehmen – ganz besonders in Verbindung mit Cloud-Diensten – große Chancen. Vertrauen Sie unserer Erfahrung und lassen Sie sich durch uns auf Ihrem Weg in die weitere Digitalisierung begleiten. Unsere Berater unterstützen Sie tatkräftig dabei, die Vorteile der Digitalisierung zu nutzen und gleichzeitig die Risiken der Digitalisierung zu beherrschen – auch datenschutzrechtliche Risiken.
Sprechen Sie unseren Experten gerne an:
Ist WhatsApp eine Datenschutzfalle? Das sollten Privatpersonen und Unternehmen wissen!
WhatsApp ist Deutschland beliebtester und meistgenutzter Messenger. Dass es mit dem Datenschutz kritisch aussieht, wissen zwar viele – aber blenden es gekonnt aus. Dabei sollten sich vor allem geschäftliche Nutzer darüber im Klaren sein, wie (un)sicher ihre Daten bei WhatsApp wirklich sind. Beleuchten wir das Thema in diesem Beitrag einmal genauer!
Die Beliebtheit von WhatsApp schränkt Alternativen ein
Knapp 60 Millionen Deutsche nutzen WhatsApp täglich, um sich auszutauschen. Ob GIFs, süße Tierfotos, schnelle Sprachnachrichten oder lebhafte Diskussionen in der WhatsApp-Gruppe „Familienclan“ über die neue Freundin von Onkel Heinz – im Sekundentakt fliegen Daten hin und her.
Was viele nicht wissen: WhatsApp ist ein Tochterunternehmen von Facebook. Und an dieser Stelle könnten wir nun das reißerische Bild eines riesigen Kraken zeichnen, der seine langen Arme um all die Daten legt und gar nicht genug davon bekommen kann. Die Wahrnehmung der meisten Nutzer ist allerdings ein bisschen anders. So kommt es, dass viele – trotz regelmäßiger Schlagzeilen über den laschen Datenschutz bei Facebook und WhatsApp – dieses Thema kaum interessiert. Denn was bringen Alternativen wie Threema, Telegram oder Signal, wenn nahezu alle Familienmitglieder und Freunde ausschließlich WhatsApp nutzen?
Diese Daten sammelt WhatsApp über Sie
Da Sie diesen Artikel gefunden haben, interessieren Sie sich aber offensichtlich doch für dieses Thema. Sie möchten wahrscheinlich genauer wissen, was WhatsApp mit Ihren Daten macht – und wie es dort mit dem Datenschutz aussieht. Es ist so, dass WhatsApp nicht generell alle Daten abgreift, sondern lediglich sogenannte Metadaten. Das sind:
Ihre Telefonnummer
wann und wie oft Sie die App nutzen
wann Sie WhatsApp beigetreten sin
Ihr Ländercode
Ihr Netzwerkcode
Informationen über das Gerät, mit dem Sie den Messenger nutzen
Ihr Standort, sofern Sie diesen aktiviert haben
Was viele nicht wissen: Sie können jederzeit einen detaillierten Überblick darüber anfordern, welche Daten WhatsApp konkret über Sie gesammelt hat. Gehen Sie dazu in die Einstellungen in der App, wählen Sie „Account“ und dort „Account-Info anfordern“. In wenigen Tagen erhalten Sie dann eine detaillierte Übersicht.
Der Datenschutz wird kritischer, je mehr Plattformen Sie neben WhatsApp nutzen
Zur Facebook-Gruppe gehört übrigens auch die beliebte Plattform Instagram. Und viele verknüpfen ihren Instagram-Account mit Facebook. Wenn Sie alle diese drei Dienste verwenden, sollten Sie die Augen besonders offenhalten. Denn aus den gesammelten Daten aller drei Netzwerke kann Facebook ein ziemlich umfassendes Nutzerprofil über Sie anlegen.
Vielleicht denken Sie jetzt: „Dann gebe ich meine Telefonnummer eben einfach nicht bei Facebook an und schlage dem Konzern so ein Schnippchen“. Was im ersten Augenblick besonders ausgefuchst erscheint, ist es tatsächlich nicht. Denn vermutlich loggen Sie sich in der Regel mit dem mobilen Gerät bei Facebook ein, das Sie auch für WhatsApp nutzen. Dann kann Facebook über einen einfachen Geräteabgleich schnell herausfinden, dass beide Accounts zu ein und derselben Person gehören – so und die Daten zusammenführen.
Ein weiteres Datenschutz-Problem bei WhatsApp ist, dass der Messenger sämtliche Kontakte aus dem Adressbuch des Geräts synchronisiert. Dadurch erhält er auch Zugriff auf die Telefonnummern von Kontakten, die nicht bei WhatsApp registriert sind und somit eigentlich uninteressant wären. In der WhatsApp Datenschutz-Richtlinie, die man beim Registrieren annehmen muss, steht dazu folgendes:
„Im Einklang mit geltenden Gesetzen stellst du uns regelmäßig die Telefonnummern in deinem Mobiltelefon-Adressbuch zur Verfügung, darunter sowohl die Nummern von Nutzern unserer Dienste als auch die von deinen sonstigen Kontakten. Möglicherweise stellst du uns auch eine E-Mail-Adresse zur Verfügung.“
Und dieser Punkt ist vor allem bei der Business-Version von WhatsApp kritisch.
WhatsApp Business – DSGVO-Probleme in der Hosentasche
Wie eingangs bereits gesagt, nutzt ein Großteil der Deutschen WhatsApp als Standard-Messenger. Für Unternehmen bietet dies eine riesige Chance zum einfachen, schnellen Kundenkontakt – besonders, seit 2018 WhatsApp Business eingeführt wurde. Bei dieser Version können Unternehmen einen eigenen Account anlegen, sodass der Kontakt nicht mehr über private Konten der Mitarbeiter erfolgen muss.
Wenn nun jedoch Kontaktdaten synchronisiert werden, fallen dem Dienst stattdessen die Telefonnummern und ggf. auch E-Mail-Adressen sämtlicher Kunden in die Hände, die im Adressbuch des Geräts verzeichnet sind. Möchte man deshalb auf WhatsApp verzichten, entsteht dasselbe Dilemma wie beim privaten Gebrauch. Denn nutzt Ihr Unternehmen stattdessen Threema, aber 98 % Ihrer Kunden haben nur WhatsApp installiert, wird das nichts mit dem schnellen Austausch. Update-Fotos von der Baustelle, die mal eben dem Kunden geschickt werden sollen? Fehlanzeige.
So nutzen Sie WhatsApp relativ datenschutzkonform
Was können und sollten Unternehmen also tun, um WhatsApp weiterhin zu nutzen und dabei möglichst datenschutzkonform zu handeln? Hier einige Vorschläge:
Stellen Sie sicher, dass Kunden mit der Kontaktaufnahme via WhatsApp ausdrücklich einverstanden sind und bieten Sie alternative Kontaktwege an, falls Kunden nicht über WhatsApp kommunizieren möchten.
Weisen Sie entsprechend der Anforderungen aus Artikel 13 der DSGVO ausdrücklich auf die Verwendung von WhatsApp hin. Alle Infos zum Datenschutz stehen im WhatsApp-Unternehmensprofil, diese sollten zusätzlich verlinkt werden.
Nutzen Sie reine Diensthandys für den WhatsApp-Kontakt und achten Sie darauf, dass Mitarbeiter die dienstliche und private Nutzung nicht vermischen.
Speichern Sie Anhänge nicht in der Mediathek des Smartphones, wenn auch andere Apps Zugriff auf diese haben.
Stellen Sie sicher, dass Ihre Geräte geschützt und mit Passwort oder Ähnlichem gegen unbefugten Zugriff gesichert sind.
Führen Sie regelmäßig Updates durch, damit sicherheitstechnisch alles auf dem neuesten Stand ist.
Deaktivieren Sie in den Einstellungen unter „Account > Datenschutz“ Ihren Live-Standort.
Gehen Sie in die Einstellungen Ihres Geräts und deaktivieren Sie dort über die App-Berechtigungen den Zugriff auf die Kontaktliste.
Deaktivieren Sie außerdem automatische Backups in einer Cloud – denn dabei besteht keine End-to-End-Verschlüsselung mehr.
Teilen Sie keine personenbezogenen Daten nach Artikel 9 der DSGVO via WhatsApp.
Sie selbst sind für den Datenschutz verantwortlich, wenn Sie WhatsApp nutzen!
WhatsApp macht seine Nutzer selbst dafür verantwortlich, sorgfältig und bedacht mit den Daten umzugehen. In den rechtlichen Hinweisen findet sich der Absatz:
„Du bist für sämtliche erforderliche Hinweise, Genehmigungen und Einwilligungen zum Erfassen, Verwenden und Teilen der Inhalte und Informationen anderer Personen verantwortlich und hast sie einzuholen; hierzu gehört auch das Vorhalten einer veröffentlichten Datenschutzrichtlinie und das Einhalten des geltenden Rechts auf sonstige Weise.“
Privat macht dies wohl kaum jemand. Da für Unternehmen jedoch die DSGVO gilt, ist dieser Hinweis bei der geschäftlichen Nutzung von WhatsApp besonders wichtig. Achten Sie also auf einen soweit wie möglich datenschutzkonformen Umgang mit Kundendaten, sofern Sie WhatsApp trotz aller Kritik verwenden möchten.
BfDI begrüßt Initiative für transparenteren Datenschutz bei Smartphone-Apps
Bonn/Berlin, 09. November 2017
Pressemitteilung 21/2017
BfDI begrüßt Initiative für transparenteren Datenschutz bei Smartphone-Apps
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, begrüßt die vom NRW -Justizminister angekündigte Bundesratsinitiative für transparenteren Datenschutz bei Smartphone-Apps. Die Datenschutzbeauftragten von Bund und Ländern weisen seit langem auf eklatante Mängel beim Datenschutz in Apps und Wearables hin. Bürgerinnen und Bürger brauchen mehr Informationen über die erhobenen Daten und müssen für die Sicherheitslücken sensibilisiert werden.
Die Bundesbeauftrage für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, begrüßt die Forderung des nordrheinwestfälischen Justizministers Peter Biesenbach nach prominent platzierten Datenschutz-Hinweisen für Smartphone-Apps. Über eine Gesetzesinitiative des Bundesrates sollen Anbieter dazu verpflichtet werden, noch vor dem Download einer Smartphone-App transparent und lesbar aufzuzeigen, wie mit den erhobenen Daten umgegangen wird.
Andrea Voßhoff :
Immer mehr Bürgerinnen und Bürger nutzen Online-Dienste über Smartphone-Apps. Die Datenschützer aus Bund und Ländern kritisieren seit längerem, dass der Datenschutz, etwa bei Gesundheits-Apps, dabei oftmals auf der Strecke bleibt. Eine Transparenz-Initiative des Bundesrates wäre hier sehr willkommen. Viele Smartphone-Apps übertragen ohne das Wissen der Nutzerinnen und Nutzer deutlich mehr Daten als für den jeweiligen Dienst erforderlich. Wo diese Daten gespeichert und welchen Dritten sie zur Verfügung gestellt werden, bleibt dabei meist oft unklar. Gerade der Zugriff auf Systeme des Smartphones, die kritische Informationen erheben oder speichern, wie Standortbestimmung, Kamera oder Adressbuch, wird meist gar nicht oder nur verkürzt angesprochen. Das muss sich ändern.
Nur wenn die Nutzerinnen und Nutzer ausreichend über die Datensammlung informiert werden, ist ihre Einwilligung in die Datenverarbeitung überhaupt rechtsgültig. Anbieter von Smartphone-Apps müssen darüber hinaus aber bereits bei der Entwicklung ihrer Angebote stärker auf den Datenschutz achten. Viele Probleme ließen sich vermeiden, wenn Daten lediglich lokal auf einem Smartphone gespeichert und verarbeitet würden, anstatt in eine Cloud übertragen zu werden.
Die Datenschutzbeauftragten von Bund und Ländern warnten bereits Anfang 2016 vor ungenügenden Datenschutzerklärungen bei Smartphone-Apps. Eine stichprobenartige Untersuchung von Gesundheits- und Fitness-Apps sowie Wearables hatte gezeigte, dass viele untersuchte Datenschutzerklärungen nicht die gesetzlichen Anforderungen erfüllten. Sie waren zu lang, unverständlich, enthielten oft nur pauschale Angaben oder lagen nicht einmal auf Deutsch vor.
Oft werden die erhobenen Daten nicht nur durch den jeweiligen Anbieter, sondern durch externe Dritte verarbeitet. Durch die unklaren Regelungen zur Datenverarbeitung entgleiten diese Daten dabei der Kontrolle der Nutzerinnen und Nutzer. Einer Weitergabe der eigenen Daten widersprechen kann man meist nicht. Problematisch ist auch, dass Apps und die damit verbundenen Nutzerkonten oft keine Möglichkeit bieten, bereits gesammelte Daten vollständig von den Servern des Anbieters zu löschen. Die App zu löschen, genügt häufig nicht, um bereits gesammelte Daten zu vernichten.
Zwar scheinen Einzelinformationen über zurückgelegte Schritte, private Kontakte oder gefahrene Wege für sich betrachtet wenig aussagekräftig. Werden diese Daten jedoch verknüpft und einer Person zugeordnet, dann ergibt sich ein präzises Bild über Tagesablauf, Gewohnheiten oder den Gesundheitszustand der jeweiligen Nutzer.