Wie lassen sich Datenschutz und Messenger-Dienste vereinen?

10. April 2024
Datenschutzanforderungen an Messenger-Dienste
Die DSGVO regelt die gesetzlichen Anforderungen an Messenger-Dienste.
Startseite » Datenschutz » Wie lassen sich Datenschutz und Messenger-Dienste vereinen?

In diesem Artikel:

An einem Messenger-Dienst auf dem Diensthandy führt heute fast kein Weg mehr vorbei. Seit jedoch bekannte Dienste wie WhatsApp in die Kritik geraten sind, stellt sich die Frage, inwiefern das Verwenden eines Instant Messengers eine Verletzung von Datenschutzregeln darstellt. In diesem Blogbeitrag werden die Datenschutzanforderungen der offiziellen Aufsichtsbehörden an Messenger-Dienste beleuchtet und fünf Apps – darunter WhatsApp, Threema und Signal – bezüglich ihrer Konformität zur Datenschutzgrundverordnung (DSGVO) bewertet.

DSGVO-Konformität von Messenger-Diensten

Die Nutzung von Messenger-Diensten im Rahmen der beruflichen Tätigkeit ist seit Einführung der DSGVO strengeren Regelungen unterworfen und hat insbesondere bei den personenbezogenen Daten eine deutliche Verschärfung der gesetzlichen Bestimmungen erfahren.

Datenschutz Grundverordnung

Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder stellten 2019 sowohl Muss-Anforderungen an Messenger-Dienste auf, z.B. beim Einsatz in sensiblen Bereichen, als auch Kann-Anforderungen. Letztere lassen alternative Vorgehensweisen zu.

In diesem Blogbeitrag werden die gesetzlich verpflichtenden Muss-Anforderungen vorgestellt, die sich auf die Messenger-App an sich, das genutzte Endgerät sowie die Kommunikation zwischen den Teilnehmern bezieht.

1. Messenger Applikation

Information und Authentifizierung

  • Die App muss es seinen Usern ermöglichen, sich über die mit der Nutzung verbundene Datenverarbeitung zu informieren (Art.13 DSGVO). Diese Informationen müssen in einem klar erkennbaren Bereich (z.B. Datenschutzerklärung) jederzeit zugänglich sein.
  • In der App muss es eine Authentifizierungsmöglichkeit für die Nutzung beziehungsweise den Zugriff auf die darüber gespeicherten Daten geben (z.B. durch einen PIN, Fingerabdruck etc.). Diese muss sich vom Schutz zur Entsperrung des Mobilgeräts unterscheiden.

Getrennte Speicher

  • Die Kontaktdaten von Kommunikationsteilnehmern müssen in einem eigenen, vom allgemeinen Adressbuch des Smartphones getrennten Speicher abzulegen sein, wenn der Messengerdienst auf die gesamte Kontaktliste zugreift und dadurch auch Daten von Personen verarbeitet, die nicht in die Datenverarbeitung eingewilligt haben.
  • Die App muss die Möglichkeit bieten, Nachrichten und Dateianhänge (Bilder, Videos etc.) ausschließlich in einem eigenen, von den allgemeinen Speicherbereichen des Smartphones getrennten Speicher in verschlüsselter Form abzulegen.

Signatur, Löschung und Fehlersuche

  • Werden elektronische Signaturen oder andere elektronische Zertifikate genutzt, muss ein Zertifikatsmanagement vorhanden sein.
  • In der App muss es möglich sein, die Daten, die über sie verwaltet werden, gezielt oder allgemein zu löschen (Nachrichten, Dateien, Kontakte etc.).
  • Wenn bei der Appnutzung Dienste Dritter zur Fehleranalyse eingebunden sind, muss dies ersichtlich sein und als optional gekennzeichnet werden. Bei der Übermittlung zur Fehlersuche müssen die Datenkategorien klar erkennbar und die Übermittlung in der Voreinstellung deaktiviert sein.

Datensicherung und Verschlüsselung

  • Um die Verfügbarkeit der Daten zu gewährleisten (Art. 32 DSGVO) muss die App die Kontakte, Inhalte und Kommunikationsvorgänge sichern können. Wenn die Speicherung durch einen Dienstleister erfolgt, der nicht die Anforderungen des Art. 9 Abs. 3 DSGVO erfüllt, muss die Möglichkeit bestehen, die Daten vor ihrer Übergabe so zu verschlüsseln, dass eine Entschlüsselung nur mit einem Schlüssel möglich ist, der nicht an den Dienstleister weitergegeben und separat gespeichert wird.
  • Der Messenger muss einen geeigneten Nachweis führen, dass die Datenschutz-Grundsätze erfüllt werden und die Sicherheit der Verarbeitung gewährleistet ist (nach Art. 25 Abs. 1 bzw. 32 DSGVO) bzw. bei den jeweiligen Verarbeitungsvorgängen die Vorgaben der DSGVO eingehalten werden.
  • Die Konfigurationseinstellungen der App müssen dem Grundsatz datenschutzgerechter Voreinstellungen (Art. 25 Abs. 2 DSGVO) entsprechen.
Datenschutz und Messengerdienste
Auch Messenger-Dienste müssen sich beim Verarbeiten von personenbezogenen Daten an die gesetzlichen Bestimmungen halten.

2. Kommunikation über den Messenger

  • Die Kommunikation zwischen den Nutzern des Messenger-Dienstes muss Ende-zu-Ende-verschlüsselt sein und so die Vertraulichkeit und Integrität gewährleisten.
  • Im Sinne der Integrität der Informationen, wenn diese für nachfolgende Maßnahmen von Bedeutung sind, muss gewährleistet werden, dass alle kommunizierten Daten auch beim Empfänger ankommen. Besteht eine Mitteilung aus mehreren Nachrichten (z.B. durch Zeichenbeschränkung), muss es Mechanismen geben, die dem Empfänger anzeigen, ob die Nachricht vollständig ist.
  • Verbindungsdaten wie Teilnehmer, Zeit-, Geräte- oder Standortdaten dürfen nur solange und so weit gespeichert werden, wie es für die Übermittlung von Nachrichten durch einen Dienstleister oder im Rahmen einer notwendigen Dokumentation erforderlich ist. Diese Daten dürfen nur für eigene Zwecke des Anwenderunternehmens genutzt werden und nicht für andere Zwecke wie z.B. zur Werbung.

3. Sicherheit der Endgeräte

  • Bei den Endgeräten, wie Smartphones oder Tablets, muss es einen wirksamen Zugriffsschutz geben, z.B. durch PIN/Passphrase oder biometrische Lösungen. Darüber hinaus muss der interne Speicher der Geräte so verschlüsselt sein, dass sich dieser nur durch die Anmeldedaten entschlüsseln lässt.
  • Die Geräte müssen über aktuelle Betriebsystemversionen verfügen, die regelmäßig mit Sicherheitspatches durch die Hersteller der Betriebssysteme (Google / Apple) versorgt werden.
  • Die Endgeräte sollten über ein Mobile Device Management (MDM) verfügen. Im Falle des Geräteverlustes muss dieses über einen Fernzugriff deaktivierbar bzw. auffindbar sein.

Fünf Messenger und ihre DSGVO-Konformität

Im Folgenden werden fünf Apps unter die Lupe genommen – WhatsApp, iMessage, Telegram, Threema und Signal – und bezüglich ihrer Konformität zur Datenschutzgrundverordnung (DSGVO) bewertet.

Kommunikation über Smartphone
Die Kommunikation über Messenger-Dienste sollte Ende-zu-Ende-verschlüsselt sein.

1. WhatsApp

Bei WhatsApp handelt es sich wohl um die derzeit meistbenutzte Messenger-App. Der Dienst hat damit den Vorteil, dass sein Interface auf Android, iOS und dem Desktop den meisten Usern bereits bekannt ist. Inhaber von WhatsApp ist der Meta-Konzern, zu dem auch Facebook gehört, und der sich durch den Verkauf zielgerichteter Werbung finanziert.

Dieses Geschäftsmodell erfordert so detaillierte Nutzer-Informationen wie möglich. Daher setzt
WhatsApp die Angabe personenbezogener Daten voraus. Sämtliche auf dem Handy gespeicherten Kontaktdaten werden zu Marketingzwecken von Meta an Server in die USA übermittelt. Das stellt einen Verstoß gegen die DSGVO dar. Auch in puncto IT-Sicherheit gibt es Mängel. Ende 2021 wurde eine gravierende Sicherheitslücke im Code von WhatsApp aufgedeckt, über die sich ganze Handys hacken ließen.

2. iMessage

Apples hauseigener Messaging-Dienst, der damit nur für iOS verfügbar ist, nennt sich iMessage. Der Dienst kann nur per iPhone oder Mac abgerufen werden. iMessage bietet die üblichen Features wie Gruppenchats und Sprachnachrichten. Apple wirbt mit der Beachtung der DSGVO und einer Ende-zu-Ende-Verschlüsselung der Kommunikation, was den Dienst verhältnismäßig sicher macht.

Im Jahr 2016 wurde allerdings eine Schwachstelle im Code des Messengers entdeckt, womit Dritten der Zugriff auf den gesamten Nachrichtenverlauf ermöglicht wurde. Seit deren Behebung wurden keine weiteren Schlupflöcher in der Sicherheitsstruktur bekannt.

3. Telegram

Telegram ist kostenlos für Android und iOS verfügbar und lässt sich auch über eine Desktop-App oder den Browser nutzen. Die Nachrichten werden über eine Cloud synchronisiert und können damit auf jedem Gerät parallel abgerufen werden. Davon ausgeschlossen sind die sogenannten „geheimen Chats“, die durch eine Ende-zu-Ende-Verschlüsselung gesichert sind und nach einer Weile automatisiert gelöscht werden.

Hinsichtlich der Umsetzung der DSGVO hat der Dienst in den letzten Jahren ordentlich nachgebessert, allerdings werden auch hier die Kontakte im Telefonbuch mit der Cloud synchronisiert. Diese Funktion lässt sich abschalten, danach können Kontakte nur noch von Hand hinzugefügt werden. Ist dies mit den Inhabern der entsprechenden Nummern abgesprochen, darf die Nutzung als DSGVO-konform gelten. Sämtliche Chats und Nutzerdaten werden auf den Telegram-Servern verschlüsselt gespeichert.
Anfang 2019 gab es allerdings auch bei Telegram eine Sicherheitslücke, durch die Malware auf Smartphones und PCs eingeschleust werden konnte.

4. Threema

Threema ist ein kostenpflichtiger Messenger, verspricht jedoch für eine einmalige Gebühr maximale Sicherheit. Die üblichen Funktionen wie Einzelchats und Gruppen stehen auch hier auf Android und iOS zur Verfügung. Sämtliche Chats, Datenpakete, Sprachnachrichten und Anrufe werden Ende-zu-Ende verschlüsselt. Die fehlende Cloud-Synchronisierung sorgt für noch mehr Datensicherheit, da es keinen zentralen Server gibt, der Ziel von Hackerattacken werden kann.

Das Vertrauen in die Sicherheit des Dienstes aus der Schweiz ist bei der landeseigenen Verwaltung so groß, dass diese den Messenger offiziell auf Diensthandys nutzt. Über Sicherheitslücken ist bislang nichts bekannt. Die Kontaktsynchronisation muss vor dem ersten Start der App freigegeben werden. Damit gilt Threema als DSGVO-konform.

5. Signal

Signal ist eine kostenfreie App, die als Open-Source-Software ihren Quellcode offengelegt hat. Ähnlich wie bei Threema gibt es für jeden Chat eine Ende-zu-Ende-Verschlüsselung und keine Cloud-Speicherung. Per individueller Einstellung werden Nachrichten nach einem bestimmten Zeitraum automatisch gelöscht. Der Dienst ist für Android und iOS verfügbar und kann auch über eine Desktop-Anwendung genutzt werden. Die üblichen Messenger-Funktionen wie Gruppenchats, Sprachnachrichten und Dateiversendungen sind auch hier vorhanden.

Der Dienst stammt aus den USA und übermittelt dorthin auch die Mobilfunknummer. Dies geschieht allerdings nur zum Abgleich, sodass die Nummer nicht weiter gespeichert wird. Die Übermittlung an sich ist nicht DSGVO-konform, kann aber aufgrund der fehlenden Speicherung vernachlässigt werden, weshalb dieser Dienst als datenschutzfreundlicher Messenger einzustufen ist und empfohlen werden kann.

Fazit: Datenschutz und Messenger-Dienste

Fazit

Darf WhatsApp aufs Diensthandy? Die Antwort lautet aus Datenschutz-Perspektive: nein. Der Dienst ist weder besonders sicher, noch entspricht er den Anforderungen an den Datenschutz. Auf Instant Messenger muss dennoch nicht verzichten werden: Mit den Diensten Threema und Signal gibt es eine kostenpflichtige und eine kostenlose Alternative. Beide Dienste können als sicher eingestuft werden und entsprechen den Anforderungen der DSGVO.

Prinzipiell gilt: Alle Unternehmen sollten diese Datenschutzanforderungen ernst nehmen, insbesondere wenn sie mit personenbezogenen Daten besonderer Kategorien (Art. 9 DSGVO) umgehen oder es andere Gründe für einen erhöhten Schutzbedarf gibt.

Seien Sie gewappnet für die Herausforderungen, die die Datenschutzgrundverordnung mit sich bringt, und lassen Sie sich beraten! Gerne unterstützen wir Sie hierbei. Mehr Informationen erhalten Sie hier.

Nächster Beitrag:
Gepostet in Datenschutz abgelegt unter , ,