Kaum ein anderer Messenger-Dienst ist so weit verbreitet wie WhatsApp. Trotz zunehmender Kritik bleibt die Anwendung für viele Menschen das zentrale Kommunikationsmittel im Alltag. Nachrichten, Fotos, Sprachnachrichten und Anrufe lassen sich plattformübergreifend und ohne zusätzliche SMS-Kosten über das Internet versenden. Dennoch wächst seit Jahren die Skepsis gegenüber dem Dienst sowie dem dahinterstehenden Mutterkonzern Meta Platforms (ehemals Facebook). Anlass genug, die datenschutzrechtlichen Aspekte genauer zu betrachten.
Dominanz am Markt – trotz Alternativen
Ungeachtet zahlreicher Diskussionen über Privatsphäre und Datensicherheit führt WhatsApp weiterhin die Ranglisten der Messenger-Apps an. Eine Erhebung von Statista aus dem Jahr 2020 zeigte, dass 94 % der Befragten WhatsApp nutzten. Zum Vergleich: Der Facebook Messenger erreichte 51 %, während Threema mit 3 % und Signal mit 2 % deutlich abgeschlagen waren.
Diese Zahlen verdeutlichen den starken Netzwerkeffekt: Je mehr Menschen einen Dienst verwenden, desto schwieriger wird der Umstieg auf Alternativen. Wer sich gegen WhatsApp entscheidet, muss häufig Überzeugungsarbeit im eigenen Umfeld leisten.
Streitpunkt Adressbuch: Datenweitergabe ohne ausdrückliche Zustimmung?
Ein vielbeachtetes Urteil des Amtsgericht Bad Hersfeld aus dem Jahr 2017 sorgte für Aufmerksamkeit. In dem Verfahren wurde einer Mutter vorgeworfen, ihr Kind nicht ausreichend bei der Smartphone-Nutzung beaufsichtigt zu haben. Das Gericht stellte fest, dass vor der Übermittlung der im Adressbuch gespeicherten Kontaktdaten an WhatsApp grundsätzlich die Einwilligung der betroffenen Personen hätte eingeholt werden müssen. Andernfalls drohten rechtliche Konsequenzen.
Zwar greift bei rein privater Nutzung grundsätzlich die sogenannte „Haushaltsausnahme“ nach Art. 2 Abs. 2 lit. c DSGVO, wonach persönliche oder familiäre Datenverarbeitungen nicht unter das Datenschutzrecht fallen. Dennoch nahm das Gericht eine zivilrechtliche Haftung nach §§ 823, 1004 BGB analog an, da durch die automatische Übermittlung der Kontaktdaten das Recht auf informationelle Selbstbestimmung Dritter verletzt werde. Weitere vergleichbare Urteile blieben bislang jedoch aus.
WhatsApp im Unternehmensumfeld: Ein datenschutzrechtliches Risiko?
Im geschäftlichen Kontext ist der Einsatz von WhatsApp besonders problematisch. Unternehmen müssten theoretisch von sämtlichen gespeicherten Kontakten eine Einwilligung einholen, bevor Telefonnummern an WhatsApp übertragen werden. Praktisch ist das kaum umsetzbar.
Eine mögliche Lösung besteht darin, die Anwendung in einer abgeschotteten, virtualisierten IT-Umgebung zu betreiben. Zusätzlich sollte ausschließlich die Business-Version mit ihren gesonderten Vertragsbedingungen genutzt werden. Das Unabhängiges Datenschutzzentrum Saarland bewertete ein solches Modell 2019 grundsätzlich als zulässig.
Allerdings hat sich die rechtliche Lage seitdem verändert: Das Privacy Shield wurde vom Europäischer Gerichtshof für unwirksam erklärt, und auch die Vertragsbedingungen von WhatsApp wurden mehrfach angepasst. Eine erneute Prüfung vor dem Unternehmenseinsatz ist daher zwingend erforderlich.
Bei Geräten mit gemischter Nutzung empfiehlt sich eine sogenannte Container-Lösung. Dabei werden dienstliche Daten in einer separaten, geschützten Umgebung gespeichert, sodass Apps wie WhatsApp keinen Zugriff auf geschäftliche Kontakte erhalten.
Kontrolle über das Adressbuch – technisch möglich?
Während der Installation verlangt WhatsApp Zugriff auf die eigene Telefonnummer und das Adressbuch. Erteilt man diese Berechtigung, gleicht die App sämtliche Kontakte mit ihrer Datenbank ab und zeigt registrierte Nutzer direkt an.
Sowohl unter iOS als auch Android lässt sich der Zugriff auf Kontakte jedoch in den Systemeinstellungen deaktivieren. Dadurch werden keine Telefonnummern übertragen – allerdings erscheinen dann auch keine Kontakte mehr automatisch in der App. Nutzer müssten warten, bis sie selbst angeschrieben werden, um einen Chat zu starten. Alternativ kann wiederum eine Container-Lösung eingesetzt werden.
Verwendung der Telefonnummer als Identifikationsmerkmal
WhatsApp nutzt die Telefonnummer als eindeutiges Identifikationsmerkmal („Unique Identifier“). Sie dient dazu, Nutzerkonten zuzuordnen und Kontakte miteinander zu verknüpfen. Auch Telefonnummern von Personen ohne WhatsApp-Account werden verarbeitet. Diese werden in gehashter Form gespeichert und mit bestehenden Kontakten verbunden. So kann das System registrierte Nutzer informieren, sobald sich eine bislang nicht registrierte Person anmeldet.
Der Europäischer Datenschutzausschuss sieht hierin lediglich eine Pseudonymisierung, nicht jedoch eine echte Anonymisierung. Aufgrund der enormen Datenmengen, die dem Konzern zur Verfügung stehen, bestehe theoretisch die Möglichkeit einer Re-Identifizierung.
Welche Daten erhebt WhatsApp darüber hinaus?
Neben der Telefonnummer verarbeitet WhatsApp Angaben wie Profilname, Status, Profilbild und Nutzungszeiten. Nachrichteninhalte werden nach Angaben des Unternehmens grundsätzlich nicht dauerhaft gespeichert, es sei denn, der Empfänger ist vorübergehend nicht erreichbar. In diesem Fall erfolgt eine Zwischenspeicherung von bis zu 30 Tagen.
Zudem können Chatverläufe auf Google Drive gesichert werden. Dabei entfällt jedoch die Ende-zu-Ende-Verschlüsselung, da die Daten unverschlüsselt beim Cloud-Anbieter abgelegt werden.
Besonders relevant sind sogenannte Metadaten: Informationen darüber, wann, wie häufig und wie lange Personen miteinander kommunizieren. Auch ohne Kenntnis der Inhalte lassen sich daraus detaillierte Nutzungsprofile erstellen.
Datenaustausch mit Facebook und regulatorische Verfahren
Nach der Übernahme von WhatsApp durch Facebook wurde eine weitgehende Unabhängigkeit versprochen. In der Praxis wuchs jedoch die Integration innerhalb des Konzerns Meta Platforms stetig.
Mit Inkrafttreten der DSGVO ist für grenzüberschreitende Sachverhalte die irische Datenschutzbehörde (DPC) zuständig. Dieses sogenannte One-Stop-Shop-Prinzip sollte Rechtssicherheit schaffen, führt jedoch bei schleppender Bearbeitung zu Kritik anderer EU-Behörden.
2021 verhängte die irische Aufsicht ein Bußgeld in Höhe von 225 Millionen Euro gegen WhatsApp – eines der höchsten der DSGVO-Geschichte – wegen Verstößen gegen Transparenzpflichten. Weitere Verfahren betreffen unter anderem Datensicherheitsvorfälle, internationale Datentransfers nach „Schrems II“ sowie die Rechtmäßigkeit bestimmter Verarbeitungsgrundlagen.
Auch das Bundeskartellamt prüft seit Jahren die Zusammenführung von Nutzerdaten innerhalb des Konzerns. Der Rechtsstreit durchlief unter anderem das Oberlandesgericht Düsseldorf sowie den Bundesgerichtshof und ist weiterhin nicht abschließend geklärt.
Warum bleiben so viele Nutzer trotzdem?
Trotz erheblicher Datenschutzbedenken hält sich WhatsApp an der Spitze. Der Hauptgrund ist der starke Netzwerkeffekt: Wer mit möglichst vielen Kontakten kommunizieren möchte, wählt den Dienst, den die Mehrheit nutzt.
Zwar wächst das Interesse an datenschutzfreundlicheren Alternativen, doch deren Marktdurchdringung bleibt bislang begrenzt. Ob sich das langfristig ändert, hängt maßgeblich vom regulatorischen Druck und vom wachsenden Bewusstsein der Nutzer für Datenschutz ab.
Fest steht: Die Debatte um Transparenz, freiwillige Einwilligung und faire Datenverarbeitung wird WhatsApp noch lange begleiten.