Was macht WhatsApp ab 15. Mai? Das sagt der Brunecker Experte - Multimedia

Der beliebte Messenger WhatsApp arbeitet nun womöglich mit einer anderen Taktik, erklärt der Brunecker Rechtsanwalt. Was passiert nach dem 15. Mai in Sachen WhatsApp? Christian Notdurfter: Ursprünglich sollten die neuen Nutzungsbedingungen und die neue Datenschutzerklärung von WhatsApp bekanntlich bereits im Jänner in Kraft treten. Nach dem öffentlichen Aufschrei und der Androhung einer Dringlichkeitsmaßnahme der italienischen Datenschutzbehörde gegen WhatsApp, wurde der Termin auf den 15. Mai verschoben – mit der erklärten Absicht, die Nutzer besser zu informieren. Es wurde auch darauf hingewiesen, dass WhatsApp anschließend ohne Zustimmung nur noch eingeschränkt und für kurze Zeit nutzbar sei. Also gilt das Ultimatum zum 15. Mai? Notdurfter: Nein, denn inzwischen hat WhatsApp auch hier wieder einen Rückzieher gemacht und mitgeteilt, dass &bdquo;am 15. Mai weder Accounts gelöscht, noch die Funktionalität von WhatsApp eingeschränkt“ werde. Man werde nun immer wieder Benachrichtigungen mit Einladung zur Zustimmung erhalten. Diese Benachrichtigungen würden &bdquo;nach Ablauf einiger Wochen“ permanent angezeigt. Wir wissen nicht, wie lange &bdquo;einige Wochen“ sein können. Diese erneute Strategieänderung hat möglicherweise aber auch mit dem von der Hamburger Datenschutzbehörde kürzlich ausgesprochenen Verbot der Weiterverarbeitung von WhatsApp-Daten deutscher Nutzer durch Facebook und mit ähnlichen Vorstößen brasilianischer und indischer Behörden zu tun. WhatsApp wird die Nutzer also schlicht und einfach so lange nerven, bis sie zustimmen. Notdurfter: Das kann man vermuten, ja. Man versucht nun wohl die Kurve zu kriegen, indem WhatsApp-Nutzer über wiederkehrende Benachrichtigungen zu einer Zustimmung bewegt werden sollen, also ohne eine Zustimmung klar und offensichtlich zu erzwingen. Eine derartige Taktik, die teilweise auf die Zermürbung von Nutzern abzielt und die man auch &bdquo;nudging“ – stupsen – nennt, wird übrigens oft dann verwendet, wenn man eine Zustimmung erhalten will, ohne einen eindeutigen Zwang auszuüben, indem man die Nutzer subtiler in eine bestimmte Richtung lenkt. Wie es aussieht, fährt WhatsApp derzeit wohl lediglich auf Sicht und spielt auf Zeit. Wie konnte der Facebook-Konzern – zu dem WhatsApp ja gehört – in diese etwas peinliche Lage geraten? Notdurfter: Facebook steht insbesondere auch in den USA aus kartellrechtlichen Gründen unter massivem Druck. Es gibt dort nämlich konkrete Bestrebungen, den Facebook-Konzern aufzuspalten. Es ist somit möglich, dass Facebook mittelfristig gezwungen wird, WhatsApp zu verkaufen. Es wird daher teilweise vermutet, dass Facebook eine schnellstmögliche Verzahnung seiner unterschiedlichen Dienste gerade auch deshalb anstrebt und unter Zugzwang steht, um eine Aufspaltung des Konzerns zu erschweren. Dies würde zumindest erklären, warum Facebook hier offensichtlich auch PR-Fehler gemacht hat. Der Facebook-Konzern hat dabei wohl nicht mit dem behördlichen und gesellschaftlichen Widerstand gerechnet und insbesondere für Europa angenommen, dass durch besondere Bedingungen zumindest die europäischen Nutzer, die weltweit die höchsten Datenschutzstandards genießen, ruhiggestellt werden können. Zu seiner Verteidigung wiederholt WhatsApp immer wieder, dass sie Privatnachrichten nicht lesen könne. Was sagen Sie dazu? Notdurfter: WhatsApp setzt nach eigenen Angaben Ende-zu-Ende-Verschlüsselung für Privatnachrichten ein. Wenn WhatsApp Privatnachrichten lesen könnte, dann würde es sich naturgemäß nicht um eine Ende-zu-Ende-Verschlüsselung handeln. Zumal WhatsApp spezifiziert, dass weder WhatsApp noch Facebook die Nachrichten lesen können, die man &bdquo;mit Freunden, Familienmitgliedern und Mitarbeitern über WhatsApp austauscht“, kann man sich gerade wegen dieser Spezifizierung im Umkehrschluss aber auch fragen, ob Nachrichten mit Unternehmen von WhatsApp hingegen gelesen werden können. Es wäre auch diesbezüglich wahrscheinlich hilfreicher gewesen, wenn die Betreiber präziser gesagt hätten, was sie machen und nicht was sie nicht machen. Meines Erachtens geht es hier aber nicht primär um Inhalte von Nachrichten. Sondern? Notdurfter: Für ein Unternehmen wie Facebook können andere Daten und insbesondere Metadaten interessanter sein als Inhalte von Nachrichten, die WhatsApp nach wie vor sammelt, und dies nicht erst mit den neuen Nutzungsbedingungen und der neuen Datenschutzerklärung. Was sehen die Nutzungsbedingungen und Datenschutzrichtlinien diesbezüglich vor? Notdurfter: Die Liste der Daten, die WhatsApp sammelt, ist lang und unklar. Die Datenschutzerklärung spricht z. B. von &bdquo;Zeitpunkt, Häufigkeit und Dauer deiner Aktivitäten und Interaktionen, […] Informationen zu deinem Hardware-Modell und Betriebssystem, Batteriestand, Signalstärke, App-Version, Informationen zum Browser und Mobilfunknetz sowie zur der Verbindung, einschließlich Telefonnummer, Mobilfunk- oder Internetanbieter, Sprache und Zeitzone, IP-Adresse, Informationen zum Gerätebetrieb und Kennungen (einschließlich individueller IDs für Produkte von Facebook-Unternehmen, die mit demselben Gerät oder Account verknüpft sind).“ Darüber hinaus werden z. B. auch Standort-Informationen erhoben, und zwar selbst dann, wenn man die genauen Standortinformationen in den Einstellungen deaktiviert. Steward Baker, ehemaliger Chef-Justitiar des US-Auslandsgeheimdienstes NSA, hat einmal gesagt: &bdquo;Metadaten erzählen absolut alles über das Leben von jemandem; wenn man genug Metadaten hat, braucht man eigentlich keine Inhalte“. Es kann daher nicht beruhigen, wenn WhatsApp sagt, es könne keine Privatnachrichten lesen und die WhatsApp-Daten würden – zumindest in Europa – nicht für Werbezwecke an Facebook weitergegeben. WhatsApp behauptet, das sich für europäische Nutzer nichts ändert, wie Daten mit dem Mutterkonzern Facebook geteilt werden. Notdurfter: Wenn man genau liest, sagt WhatsApp, dass die aktualisierte Datenschutzerklärung keine &bdquo;zusätzlichen Berechtigungen“ beinhaltet, Daten mit dem Mutterkonzern Facebook zu teilen. In der Tat hätte man sich die Fragen, die wir uns heute stellen, bereits viel früher stellen müssen. WhatsApp hatte auch behauptet, dass Daten in Europa nicht für Werbezwecke an Facebook weitergegeben werden. Stimmt das? Notdurfter: Ja, das behauptet WhatsApp zumindest, und dies ist eine direkte Konsequenz der Datenschutz-Grundverordnung (DSGVO). Selbst diese Aussage muss allerdings mit Vorsicht gelesen werden. Es stellt sich nämlich unter anderem die Frage, was genau WhatsApp und Facebook unter &bdquo;eigenen Zwecken“ und &bdquo;Werbezwecken“ verstehen. In der WhatsApp-Datenschutzerklärung steht nämlich z. B. auch, dass WhatsApp die Daten &bdquo;im Interesse von Unternehmen und sonstigen Partnern“ verarbeitet, &bdquo;um ihnen zu helfen, Erkenntnisse über ihre Kunden zu erlangen und ihre Geschäfte zu verbessern und unsere Preismodelle zu validieren, die Effektivität und Verbreitung ihrer Dienste und Nachrichten zu bewerten und Aufschluss darüber zu erlangen, wie die Menschen mit ihnen auf unseren Diensten interagieren“, oder dass WhatsApp Daten zur &bdquo;Förderung der Produkte von Facebook-Unternehmen und zum Versenden von Direktwerbung“ verarbeitet. Im Klartext heißt das: Da werden ganze Berge von Daten abgegriffen und gehortet. Notdurfter: Die Masse an Daten, die der Facebook-Konzern von Milliarden von Menschen aus unterschiedlichen Quellen sammelt, bleibt selbst dann hoch problematisch, wenn diese Daten – zumindest in Europa – nicht für Werbezwecke verwendet werden würden. Vielmehr erachte ich die Überwachung und Profilbildung von Milliarden von Menschen durch einen Konzern, der offensichtliche Transparenzdefizite aufweist, als eine der zentralen Gefahren für den Einzelnen aber insbesondere auch für die Gesellschaft insgesamt. Das Missbrauchspotenzial durch solche Datenkonzentrationen, wie die potenzielle Beeinflussung von Wahlen, ist groß und wurde von der Hamburger Datenschutzbehörde hinsichtlich der in Deutschland im September anstehenden Bundestagswahlen explizit genannt. Was hat die Hamburger Datenschutzbehörde bemängelt? Notdurfter: Die Hamburger Datenschutzbehörde hat lediglich einen beschränkten Eingriff im Rahmen eines Dringlichkeitsverfahrens für Deutschland vorgenommen, das sich übrigens nicht gegen WhatsApp, sondern gegen Facebook richtet: Facebook wurde verboten, Daten von WhatsApp-Nutzern für eigene Zwecke zu verarbeiten. Warum wurde, wie Sie sagen, nur ein &bdquo;beschränkter Eingriff“ vorgenommen? Notdurfter: Die Hamburger Datenschutzbehörde hat keine Befugnis für eine umfassende Überprüfung von WhatsApp oder anderen Facebook-Unternehmen auf europäischer Ebene, sondern nur für zeitlich begrenzte Dringlichkeitsmaßnahmen für Deutschland. Für umfassende Maßnahmen wäre die irische Datenschutzbehörde zuständig, zumal Facebook und WhatsApp in Irland ansässig sind. Die Hamburger Behörde hat sich in diesem Zusammenhang einen erneuten Seitenhieb auf ihr irisches Pendant nicht verkneifen können, indem bemängelt wurde, dass es &bdquo;eine Untersuchung durch die federführende Aufsichtsbehörde über die tatsächliche Praxis der Datenweitergabe und -nutzung bislang trotz unserer Aufforderung nicht gegeben hat“. Zusammengefasst: Wo sehen Sie aus der Sicht des Datenschutzes das wesentliche Problem? Notdurfter: Es gibt viele Aspekte, die sich bemängeln ließen. Man kann aber bei der zentralen Frage nach der Transparenz beginnen. Transparenz ist eine heilige Kuh der DSGVO: Wir sollen verstehen können, was ein Unternehmen oder eine Behörde mit unseren Daten macht, denn nur so können wir unsere Rechte auch ausüben; wir müssen etwa durch Datenschutzerklärungen informiert werden, und zwar &bdquo;in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“. Wie auch die Hamburger Behörde festgestellt hat, finden sich z. B. die Bestimmungen zur Datenweiterage an Facebook &bdquo;verstreut auf unterschiedlichen Ebenen der Datenschutzerklärung, sie sind unklar und in ihrer europäischen und internationalen Version schwer auseinanderzuhalten. Zudem sind sie inhaltlich missverständlich und weisen erhebliche Widersprüche auf.“ Um eine Datenschutzerklärung zu verstehen, sollte es in der Regel nicht notwendig sein, einen Rechtsanwalt konsultieren zu müssen. Selbst wenn wir einen sehr niedrigen Standard für Transparenz ansetzen würden, sollte zumindest eine Datenschutzbehörde eine Datenschutzerklärung verstehen können. Viele würden durchaus zu einem anderen Dienst wie Signal wechseln, aber wenn dort so wenige Leute aus dem Freundes- und Bekanntenkreis sind … Notdurfter: Wir sind Gewohnheitstiere und haben derzeit wohl auch andere Probleme – das weiß auch Facebook. Wenn z. B. Familienchats oder Chats von Unternehmen seit Jahren über einen bestimmten Dienst laufen, kann eine Umstellung auf einen anderen Chatdienst als unbequemer Aufwand wahrgenommen werden oder man hat eventuell Angst, den Anschluss zu verlieren, wobei gerade das wieder dafür spricht, dass WhatsApp eine mehr als bedenkliche Marktmacht erlangt hat. Dazu kommt ein Phänomen, das als &bdquo;Privacy Paradox“ bezeichnet wurde: Danach sind viele Menschen zwar grundsätzlich um ihre Daten besorgt, handeln konkret aber nicht immer im Sinne des Datenselbstschutzes. Viele Menschen sind vielfach schlichtweg überfordert, anderen wiederum ist es einfach völlig egal, teilweise vielleicht wahrscheinlich auch aufgrund mangelnder Sensibilisierung. Daher ist es neben dem Versuch des individuellen Selbstschutzes wichtig, dass Datenschutzbehörden bei allfälligen Verstößen, vor allem von Internetgiganten, konsequent durchgreifen. Dies gilt insbesondere für Verstöße gegen das Transparenzgebot, das eine zentrale Grundvoraussetzung für Datenschutzrechte darstellt. Ohne Transparenz kann es nämlich keinen echten Datenschutz geben. * Christian Notdurfter ist Rechtsanwalt mit den Schwerpunkten internationales Handels- und Vertriebsrecht, geistiges Eigentum und Datenschutz.