Whats App Messenger und der Datenschutz – eine klare „Nichtkaufempfehlung“

In den letzten Monaten wurde mir immer mal wieder die „Whatsapp Messenger“ App empfohlen. Diese soll dem Nutzer hohe SMS Gebühren ersparen und plattformübergreifendes Instant Messaging ermöglichen (soweit ich das gelesen habe inkl. Attachments wie Bildern, Videos etc.).

OK, Geld sparen klingt immer erstmal gut – da ich in Sachen App Kauf aber zur sehr sparsamen Fraktion gehöre, hatte ich die App bisher nicht auf Verdacht gekauft. Aktuell steht sie aber kostenlos im iTunes Store zur Verfügung, ich habe also mal den Download gestartet.

Öffnet man die App, so begrüßt einen gleich der folgende Screen:

OK, mein spontaner Reflex ist da natürlich der gleiche wie wenn z.B. Facebook einen Abgleich des Adressbuches vorschlägt: Nein, natürlich will ich das nicht – es wird also auf „verbieten“ geklickt.

Die App wird dann sofort eher trotzig und ermöglicht einem keine Nutzung des Dienstes:

Das gefällt mir in der Tat nicht – ich wollte die App eigentlich nur für die allmorgendliche Abstimmung mit einem Freund und Arbeitskollegen nutzen („und, wann fahren wir heute..?“). Somit möchte ich der App natürlich nicht mehr Zugriffsrechte auf meine Daten einräumen als genau diese eine Telefonnummer oder User-ID.

Ein kompletter Abgleich mit meinem Adressbuch ist weder notwendig noch zumutbar und in der EU nebenbei nichtmals gesetzlich zulässig. Letzteres scheint dem Anbieter auch klar zu sein – zumindest wird in den Bedingungen und in der ihren Namen kaum verdienenden Privacy Policy auch hierauf eingegangen. Hier wird versucht, die Verantwortung für eine Übertragung der Daten aus der EU in die USA unterzuschieben – ob dies zulässig oder möglich ist, vermag ich nicht sicher zu sagen.

Was hier passiert ist ja ohnehin etwas, wo es nicht um meine Daten, sondern diejenigen meiner Kontakte geht – also die privaten Daten Dritter. Diese haben keine Chance, der Datenfreigabe bzw. der Übertragung zu wiedersprechen, also sollte man selber mit diesen Daten besonders verantwortungsvoll (besser: paranoid!) umgehen.

An der Stelle darf ich meine Kontakte auch darum bitten.

Dann mal zur Frage was denn im normalen Betrieb hier wohl passiert – bzw. was passiert wäre, hätte ich dem Adressbuchabgleich zugestimmt:

  • durch den Abgleich mit meinem Adressbuch wären alle (ca. 800) Einträge meines iPhones an die Fa. Whatsapp übertragen worden
  • ob hierbei nur Rufnummern oder stets der komplette Datensatz inkl. Name, ggf. vorhandener Beschreibungen, Photos etc. auf deren Server geht ist unklar; in Ermangelung einer anderen Information gehe ich mal vom schlimmsten aus (kompletter Transfer)
  • die Kontaktdaten (mindestens die Rufnummern) bleiben dauerhaft (!!) auf den Systemen des Anbieters gespeichert (sonst könnte die App ja keinen sofortigen Abgleich für neue User machen)
  • ein Test der App und darauf folgendes Löschen verhindert also nicht, dass das Unternehmen zumindest die Möglichkeit hat, die Adressbuchdaten für immer gespeichert zu lassen

Warum man nicht einfach die seriöse Option verwendet (nämlich ein manuelles Eintragen der gewünschten Kontakte bzw. die manuelle Suche nach schon bei Whatsapp registrierten Usern) ist klar: Vertriebsziele bzw. eine möglichst große und aktive Userbase sind wichtigere Anliegen als der Datenschutz -nicht unüblich bei Internetstartups…

Ich denke es ist klar geworden, dass ich wohl kein Whatsapp User mehr werde.

Nachdem das recht schnell entschieden war, wollte ich mir aber zumindest noch die Frage nach Alternativen stellen. Ich selbst habe zwar einen Handytarif mit „nahezu Flatrate“ (die Anzahl der erlaubten SMS und Telefonminuten überschreite ich niemals), aber das gilt ja nicht unbedingt auch für alle meine Freunde.

Statt Whatsapp könnte man…

  • wie bisher SMS nutzen und sich um eine Flatrate kümmern
  • das sichere Jabber Protokoll verwenden, bei dem man sogar den Server selbst betreiben kann und somit nicht nur die gesamte Kommunikation, sondern auch die Speicherung der Kontaktdaten in der eigenen Hand behalten kann (das machen wir z.B. in der Firma)
  • Skype verwenden und damit zwar auch einige Daten bei einem amerikanischen Unternehmen speichern, aber dies nur sehr selektiv. Gleichzeitig kann man bei Skype ja wunderbar mit Pseudonymen arbeiten. Zentral ist aber das vorgenannte Wort „selektiv“: Man ist bei Skype nicht gezwungen, sein komplettes Adressbuch zu synchronisieren (also auf den Server des Anbieters zu kopieren!) Ich hätte mir nebenbei nicht vorstellen können, Skype mal als ein Positivbeispiel für Datenschutz anzuführen, aber es kommt wohl immer auf das Verhältnis an 😉

Wie absurd eine solche Adressbuchfreigabe ist, hat Stefan Dom in seinem Blog recht deutlich und gleichzeitig anschaulich formuliert. Man merkt ihm die Entrüstung an:

so… und nun stelle man sich vor, dass man auf der strasse angequatscht wird: “hey.. willst du umsonst mit deinen freunden telefonieren? dann gib mir mal dein notizbuch mit all adressen, die du in deinem leben gesammelt hast. ich verschwinde kurz damit um mir das zu kopieren. wenn da einer deiner freunde drin steht, dessen adressbuch ich mir auch schon kopiert habe, dann kannst du mit dem telefonieren, aber sonst mit niemandem”. bescheuert oder? niemand wuerde sowas machen.

 

Fazit:

Natürlich, Sicherheit ist unbequem und Datenschutz führt dazu, dass man auf manches Onlineangebot oder eben manche App besser verzichten sollte.

Nun gut, dann ist das eben so – gerade bei dieser App. Hier geht es schließlich nichtmals um meine persönlichen Daten, sondern um diejenigen meiner Familie, meiner Freunde und nicht zuletzt meiner Geschäftskontakte und -freunde (!).

Google Street View und der LDI NRW (Landesbeauftragter für Datenschutz und Informationsfreiheit)

Ich bin erstaunt – wenngleich die Datenschützer (m.E. zu Recht) Google Street View das Leben bisweilen schwer gemacht haben, hat der Landesbeauftragte für Datenschutz und Informationsfreiheit NRW anscheinend darauf verzichtet, das Bürogebäude verpixeln zu lassen:

typo3 verliert Nutzerdaten :-(

Die Website Typo3.org hat leider Nutzerdaten verloren bzw. ist gehackt worden 🙁

Registrierte Nutzer bekamen heute folgende Mail zugesandt:

This is an important security warning. You are receiving it because your email
address is registered on the TYPO3.org website.

We have to inform you that an unauthorized person has gained administrative
access to the TYPO3.org website.

The offender had access to website user details including their passwords, and
there have been reports of this data being used to access other websites.
It also has to be expected that the data may have been disclosed to third
parties.

The attacker has been identified, and the TYPO3 Association has started to
take legal action on the issue.

Important!
IF YOU HAVE USED THE SAME PASSWORD ON ANY OTHER SITE, PLEASE CHANGE IT
IMMEDIATELY!

In a first step, all login accounts on TYPO3.org have been locked and will
require a new password. We are currently working on an improved login
procedure and will let you know when this is ready. Until then, you will not
be able to log into the Community section of TYPO3.org.

We have set up an FAQ page at http://typo3.org/about/faq/t3org-issue/
The page may be updated with new questions from time to time, so make sure to
check back before replying to this mail.

We apologize for the inconveniences and troubles that this might cause to you.

TYPO3 Association

Bevor jemand falsche Schlüsse zieht: Nein, wir freuen uns nicht, wenn den Kollegen bei typo3 so etwas passiert. Gut, wenn es jetzt ein großer „Fensterhersteller“ aus den USA gewesen wäre…. 🙂