WhatsApp und das Adressbuch-Problem

Der Kauf durch Facebook, die eingeführte Ende-zu-Ende-Verschlüsselung und zuletzt die vermeintliche Backdoor: WhatsApp taucht mit verlässlicher Regelmäßigkeit hier im Blog auf. Aktuell gibt es wieder Aufregung, und zwar juristische. Das Amtsgericht im hessischen Kurort Bad Hersfeld hat mit seinem Beschluss in einem Sorgerechtsstreit (sic) für mächtig Wirbel in der Digitalszene gesorgt. Das vermeintliche Fazit lautet nämlich: Wer WhatsApp nutzt, lädt unerlaubt die Kontaktdaten seiner Freundinnen und Bekannten von seinem Smartphone auf WhatsApps Server hoch. Dafür – so das Amtsgericht – bräuchte man aber die ausdrückliche Einwilligung aller Betroffenen. Die hat natürlich niemand. Also alles illegal, verboten, kaputt und böse.

Das Ergebnis, zu dem das Amtsgericht kommt, ist natürlich wahnsinnig umstritten. Noch viel interessanter als das Ergebnis ist aber der Weg, auf dem das Gericht überhaupt zu diesem Fazit kommt. Quasi im Vorbeigehen frühstückt der Beschluss nämlich absolute Streitthemen der Datenschutzszene mit ab: Wer ist verantwortlich für die Datenübermittlung an WhatsApp? Gilt das Datenschutzrecht überhaupt für Privatleute? Was bedeutet es praktisch, wenn man jetzt trotzdem weiter WhatsApp nutzt? Und was ist dann mit Konkurrenzdiensten wie Threema, Telegram & Co?

Bevor wir einsteigen, muss ich ehrlicherweise vorwegschieben, dass ich selbst Jurist bin und obendrein lange Zeit bei einer der deutschen Aufsichtsbehörden für Datenschutz gearbeitet habe. Während meiner Zeit dort habe ich unter anderem auch das Thema WhatsApp im Einsatz durch Private und Unternehmen betreut. Ich schreibe hier also auch als (Ex-) Fachmann, werde aber versuchen, das juristische Kauderwelsch auf das Nötigste zu beschränken.

Was genau ist das Problem?

WhatsApp ist eine – Achtung, Breaking News – Chat-App und als solche übermittelt sie Nachrichten. Dazu muss die App natürlich wissen, an wen die Nachrichten gehen sollen. Während Dienste wie RIOT, Conversations oder die gute alte E-Mail es ermöglichen, dass im Grunde jedefrau und jedermann einen Server betreiben kann, um Nachrichten zu versenden und zu empfangen, verfolgen moderne Messenger oft einen zentralisierten Ansatz. So macht es auch WhatApp, das als einziges weiß, wer unter welcher Telefonnummer am System teilnimmt und erreichbar ist. Folglich kann auch nur WhatsApp eine WhatsApp-Nachricht zustellen.

Das Problem daran ist, dass neue WhatsApp-Nutzerinnen auch erst einmal beim zentralen WhatsApp-Server anfragen müssen, wer von den zahlreichen Freundinnen und Bekannten denn bereits bei WhatsApp aktiv ist. Dazu übermittelt die App vom Smartphone aus regelmäßig die Telefonnummern aller im Telefon gespeicherten Kontakte an WhatsApp. Und zwar auch jener Bekannten und Freundinnen, die WhatsApp überhaupt nicht nutzen. Der Vorteil: WhatsApp übernimmt die gesamte Nachrichtenzustellung und ich muss mir außer den ohnehin gespeicherten Telefonnummern nichts weiter merken. Der Nachteil: WhatsApp erfährt in schöner Regelmäßigkeit die Telefonnummern von vielen Menschen, die überhaupt nichts mit WhatsApp zu tun haben.

Rein rechtlich ist diese Weitergabe eine Übermittlung von Daten (Telefonnummern) an einen Dritten (WhatsApp), wofür es in Deutschland immer und (fast) ausnahmslos einer gesetzlichen Grundlage bedarf. So steht es in § 4 Bundesdatenschutzgesetz. Gibt es keine Rechtsgrundlage, die diese grundsätzlich verbotene Übermittlung zulässt, ist die Datenverarbeitung rechtswidrig. Im Falle der Nutzung von Messenger-Diensten wie WhatsApp kommt dabei oft nur die Einwilligung (§ 4a Bundesdatenschutzgesetz) in Betracht. Dass man aber von allen Personen in seinem digitalen Kontaktbuch die schriftliche Erlaubnis zur Weitergabe der Nummer an WhatsApp einholt, scheint natürlich eher unpraktikabel.

Die Kontrollfrage

Es gibt nun allerdings zwei entscheidende Vorfragen, die man klären muss, bevor man zu diesem Ergebnis kommen kann. Die erste ist die Frage nach der Kontrolle. Eine gesetzliche Erlaubnis brauchen nämlich nur die, die auch verantwortlich für die Datenübermittlung sind. Nicht wenige Fachleute bezweifeln jedoch, dass einzelne Nutzerinnen überhaupt verantwortlich für das sind, was WhatsApp mit den Daten im Telefon macht. Schließlich kann niemand von uns tatsächlich nachvollziehen, wann und wie und wohin die App die Telefonnummern genau übermittelt. Im Grunde beschränkt sich die Mitwirkung der Nutzerinnen ja darauf, dass sie sich die App auf das iPhone oder Android installieren, schnell alle Haken bei Nutzungs- und Datenschutzbedingungen setzen und dann eifrig loslegen.

Rechtlich hängt hier also alles an der datenschutzrechtlichen Verantwortlichkeit (§ 3 Abs. 7 Bundesdatenschutzgesetz), einem absoluten Reizthema der Szene. Ist der Betreiber eines Youtube-Kanals verantwortlich dafür, was Google mit den Daten der Abonnenten macht? Ist ein Unternehmen dafür verantwortlich, was mit den Daten der Mitarbeiterinnen bei der Benutzung von Slack passiert? Ist eine WhatsApp-Nutzerin dafür verantwortlich, was WhatsApp mit den Telefonnummern der Kontakte im Telefon macht?

Die Antwort darauf hängt von der Auslegung europarechtlicher Vorgaben ab, die festlegen, dass derjenige verantwortlich ist, der die Daten entweder selbst verarbeitet oder durch Dritte verarbeiten lässt und dabei die Zwecke und Mittel der Datenverarbeitung kontrolliert. Welches Maß an Zweck- und Mittelkontrolle aber im Einzelfall nötig ist, ist heillos umstritten und wird anlässlich des Betriebs einer Facebook-Seite gerade vor dem Gerichtshof der Europäischen Union geklärt. An dem Verfahren war ich selbst sehr lange beteiligt und habe meine Position bereits andernorts ausführlich zusammengefasst.

Verantwortlichkeit: Bereits ein Fall für den EuGH

Über dieses Thema lässt sich in der Tat lange und ausgiebig diskutieren. Ich möchte es an dieser Stelle dabei belassen, dass ich es für eine Selbstverständlichkeit halte, dass derjenige, der sich für ein bestimmtes Kommunikationsmittel entscheidet und auf seinem Smartphone installiert auch dafür verantwortlich ist. Ob er die Daten selbst verarbeitet (etwa durch Betrieb eines eigenen Mailservers) oder durch Dritte verarbeiten lässt (Messenger-App), spielt meiner Meinung nach keine Rolle. In letzterem Fall müsste dann eben ein spezieller Auftragsdatenverarbeitungsvertrag zwischen Nutzerin und App-Anbieter geschlossen werden. Die kommende Datenschutz-Grundverordnung sähe auch die Möglichkeit vor, dass die Aufsichtsbehörden dafür Muster entwickeln. Wo einige nun absurde Bürokratie wittern, sehen andere eine Chance: So könnten Nutzer nämlich endlich auch bestimmen, was so eine Chat-App wann und wozu über einen selbst und das Kommunikationsumfeld verarbeiten soll.

Privatnutzung im digitalen Zeitalter

Kommt man also dazu, dass die Nutzerinnen und Nutzer von WhatsApp & Co dafür verantwortlich sind, was die von ihnen genutzte App mit den Daten von Freundinnen und Bekannten macht, gibt es noch eine zweite Hürde zu überwinden. Die Frage nämlich, ob Privatnutzerinnen überhaupt all diese strengen Vorgaben des Datenschutzrechts einhalten müssen. Kann es wirklich sein, dass Privatleute – zum Beispiel das Kind im Fall des Amtsgerichts Bad Hersfeld – gesetzlich genauso streng behandelt werden, wie ein Unternehmen, das einen Messenger für die Mitarbeiterkommunikation einsetzt?

Ursprünglich ging das Datenschutzrecht mal davon aus, dass das wohl in der Tat zu viel des Guten ist und hat dafür eine sogenannte Haushaltsausnahme geschaffen. Datenverarbeitungen, die rein privaten oder familiären Zwecken dienen, sollen demnach gar nicht erst vom Verarbeitungsverbot erfasst werden. In Deutschland steht das ganz am Anfang des Bundesdatenschutzgesetzes in § 1 Abs. 2 Nr. 3. Würden die private Nutzung von WhatsApp oder einer andere Chat-App unter diese Ausnahme fallen, wäre jedenfalls das strenge Datenschutzrecht kein Problem mehr. Fragen der Verantwortlichkeit, der Rechtsgrundlagen oder von Auftragsdatenverarbeitungsverträgen würden sich schlicht nicht mehr stellen. Das Amtsgericht Bad Hersfeld hat übrigens genau das angenommen und beschlossen, dass die WhatsApp-Nutzung nicht vom Datenschutzrecht erfasst sei. Das Kind nutze – so das Gericht -WhatsApp schließlich nicht geschäftlich, sondern agiere rein privat.

Das Problem an dieser Sichtweise ist allerdings, dass die Haushaltsausnahme aus den Anfängen der europäischen Datenschutzgesetzgebung stammt, also aus den beginnenden 1990er Jahren. In einer Zeit, als Windows 95 noch der Traum aller Nerds war, wollte man damit solche Datenverarbeitungen erleichtern, die allein unter häuslicher Kontrolle in privatem Umfeld stattfand. Die Floppy Disc in der Schreibtisch-Schublade oder die elektronisch geschriebenen Briefe auf der Festplatte erschienen derart durch private Nutzer beherrschbar, dass man dort kein Grund zur strengen Regulierung sah. Während das Datenschutzrecht nun die nächsten 20 Jahre auf diesem Niveau verharrte, tat es die Technik natürlich nicht.

Im Zeitalter des Internets kann kaum noch angenommen werden, dass die geschriebenen Texte im Internet genauso von Privaten beherrschbar sind, wie sie es einmal auf einer Diskette in der heimischen Schublade waren. Das mussten auch die Gerichte einsehen. Im berühmten Lindquist-Fall hatte (wieder) der Gerichtshof der Europäischen Union Anfang der 2000er darüber zu entscheiden, ob die Veröffentlichung von Informationen über ehrenamtliche Mitglieder einer Kirchengemeinde auf der (von außen allerdings für jeden erreichbaren) Intranet-Seite der Kirche als private Nutzung einzustufen war oder ob Frau Lindquist dadurch das schwedische Recht gebrochen hatte. Der Gerichtshof lehnte das im Fall Lindquist letztlich ab, weil eine private Nutzung offensichtlich nicht bei der Veröffentlichung von Daten im Internet vorliege. Diese Daten würden nämlich einer unbegrenzten Zahl von Personen zugänglich gemacht.

Mit Blick darauf, dass ein Kommunikationsnetz wie das von WhatsApp unweigerlich eine große Zahl an Admins, Technikern und sonstigem IT-Personals bedarf und dabei der gesamte Facebook-Konzern noch gar nicht mit betrachtet ist, tue ich mich auch sehr schwer damit, die WhatsApp-Nutzung noch im gleichen Maße der Haushaltsausnahme zuzurechnen. Beherrschbar ist die dadurch verursachte Datenverarbeitung kaum, jedenfalls nicht im gleichen Maße wie es die Erfinder der Haushaltsausnahme wohl einmal erdacht haben. Ich meine, dass es weniger darauf ankommen kann, zu welchen Zwecken moderne Technik genutzt wird, sondern vielmehr darauf, ob ich sie selbst noch kontrollieren kann. Mein häusliches NAS ohne Anbindung ans Internet würde ich deshalb eher als privilegiert ansehen als meine bei OneDrive gespeicherten Daten, unabhängig davon, dass auf beiden die gleichen privaten Partybilder gespeichert sind.

Was heißt überhaupt „illegal“?

Wirbel um WhatsApp ist natürlich immer für Klicks gut. Die üblichen Verdächtigen mit großer Reichweite und kleinem journalistischem Wert warfen dementsprechend sofort mit reihenweise Hysterie um sich. WhatsApp sei wieder einmal illegal und es drohe (Achtung, Reizwort) eine Abmahnwelle. Wenn juristische Laien von illegal reden, meinen Sie aber oft sehr verschiedene Dinge.

Man könnte die Nutzung schlicht als datenschutzrechtlich rechtswidrig ansehen, mit der Folge, dass einem die Datenschutzaufsicht untersagen könnte, WhatsApp zu nutzen. Damit ist kaum zu rechnen. Viele Datenschutzaufsichtsbehörden betonen bisher vor allem ihren Beratungsauftrag und sind nicht gerade als besonders umtriebig bekannt, was das Versenden von Verbotsverfügungen angeht. Auch der Leiter der für Facebook in Deutschland zuständigen Aufsichtsbehörde wird bereits mit den Worten zitiert, dass man kein Vorgehen gegen Privatnutzer plane.

Interessanter wird es, wenn man die Nutzung nicht nur als rechtswidrig, sondern bußgeldbewehrt einstuft. Nicht jeder Datenschutzverstoß ist automatisch eine Ordnungswidrigkeit. Der trotzdem recht üppige Katalog in § 43 Bundesdatenschutzgesetz ließe aber wohl Spielraum. Zuständig für die Ahndung von datenschutzrechtlichen Ordnungswidrigkeiten sind aber fast überall ebenfalls die bereits benannten Datenschutzaufsichtsbehörden, so dass man wohl eine ähnliche Mäßigung hinsichtlich der Verfolgung privater WhatsApp-Nutzer erwarten darf.

Schließlich wird jede Datenschutz-Ordnungswidrigkeit sogar zur Straftat gemäß § 44 Bundesdatenschutzgesetz, wenn man bei Tatbegehung z.B. bestimmte unredliche Motive hatte. Ob und wann diese vorliegen, ist mangels behördlicher oder gerichtlicher Erfahrung mit dem Straftatbestand jedoch unklar. Zuständig wären mit den Staatsanwaltschaften aber tendenziell härter durchgreifende Institutionen.

Abseits all dessen gibt es dann noch das Thema Abmahnung. Darauf weist schließlich auch das Amtsgericht im Ausgangsfall hin. Abseits aller datenschutzrechtlichen und strafrechtlichen Verstöße kann die ungefragte Weitergabe von Daten Dritter auch eine Verletzung von Persönlichkeitsrechten sein. Diese können unter Umständen zivilrechtlich abgemahnt werden, inklusive entsprechender Abmahngebühren. Vorher müssten aber im Einzelfall die Rechte der Whatsapp-Nutzerinnen mit den Rechten der Adressbuch-Freundinnen abgewogen werden. Über das Risiko entsprechender Abmahnungen streiten deshalb die Experten, einige sehen Grund zur Entspannung.

Und die anderen?

Wendet man das geltende Datenschutzrecht auf WhatsApp an, so spricht in der Tat vieles dafür, dass bei der Einhaltung des deutschen und europäischen Rechts etwas knirscht. Aber das ist kein Problem von WhatsApp allein. Selbst der von mir privat genutzte Threema-Messenger bietet die Option, zum Abgleich des lokalen Kontaktebuchs einmalig Daten auf den Threema-Server zu laden. Die werden laut der Threema-FAQ zwar mathematisch abstrahiert (Stichwort: Hashwert) und nur zum Abgleich ganz kurzfristig gespeichert. Rechtlich dürfte das aber wenig daran ändern, dass für diese kurze Zeit Daten zu Threema übermittelt werden. Auch ist das vorherige Hashen bei Telefonnummern wegen der überschaubaren Anzahl an Kombinationen so leicht rückrechenbar, dass selbst Threema die Daten konsequenter Weise schlicht als genauso sensibel wie Klardaten behandelt.

Ist es bei der Konkurrenz anders?

Egal ob Threema, Telegram, WhatsApp oder auch iMessage: Das Adressbuch-Problem dürfte grundsätzlich alle Messenger betreffen. Abhilfe würden nur grundlegend andere Kommunikationswege schaffen. Die oben schon angesprochenen RIOT und Conversations Apps setzen beispielsweise auf das Matrix- oder XMP-Protokoll. Statt die Verwaltung der Kontaktadressen einem Drittanbieter zu überlassen, kann ich dort (wie bei der E-Mail) selbst ein Kontaktbuch pflegen und Nachrichten versenden ohne irgendeinem Server meinen gesamten Kontaktebestand anvertrauen zu müssen. Auch könnte man sich vielleicht damit abfinden, WhatsApp-Nachrichten blind zu versenden. Ist eine Nummer nicht bei WhatsApp registriert, könnte das die App schlicht mit einer Fehlermeldung quittieren, wie es auch bei der klassischen E-Mail der Fall ist. Entscheidend ist: Der routinemäßige Vollabgleich ist nicht ohne Alternativen.

Das alles ist natürlich weit weniger komfortabel und wirkt ganz und gar nicht fortschrittlich. Aber ich hab den Beitrag ja auch nicht Adressbuch-Lösung, sondern Adressbuch-Problem genannt. In diesem Sinne freue ich mich auf hoffentlich zahlreiche (un-) juristische Kommentare.

See you in the comments!

6 Kommentare
  1. DMM
  2. DMM

Artikel kommentieren

Dein Kommentar wird in der Regel sofort veröffentlicht. Bei erhöhtem Spam-Aufkommen kann es aber zu Verzögerungen kommen. Hab dann bitte einfach Geduld. Bitte beachte auch die Datenschutzhinweise zur Kommentarfunktion.

Notwendige Felder sind mit * markiert.

*