Der Kauf durch Facebook, die eingeführte Ende-zu-Ende-Verschlüsselung und zuletzt die vermeintliche Backdoor: WhatsApp taucht mit verlässlicher Regelmäßigkeit hier im Blog auf. Aktuell gibt es wieder Aufregung, und zwar juristische. Das Amtsgericht im hessischen Kurort Bad Hersfeld hat mit seinem Beschluss in einem Sorgerechtsstreit (sic) für mächtig Wirbel in der Digitalszene gesorgt. Das vermeintliche Fazit lautet nämlich: Wer WhatsApp nutzt, lädt unerlaubt die Kontaktdaten seiner Freundinnen und Bekannten von seinem Smartphone auf WhatsApps Server hoch. Dafür – so das Amtsgericht – bräuchte man aber die ausdrückliche Einwilligung aller Betroffenen. Die hat natürlich niemand. Also alles illegal, verboten, kaputt und böse.

Das Ergebnis, zu dem das Amtsgericht kommt, ist natürlich wahnsinnig umstritten. Noch viel interessanter als das Ergebnis ist aber der Weg, auf dem das Gericht überhaupt zu diesem Fazit kommt. Quasi im Vorbeigehen frühstückt der Beschluss nämlich absolute Streitthemen der Datenschutzszene mit ab: Wer ist verantwortlich für die Datenübermittlung an WhatsApp? Gilt das Datenschutzrecht überhaupt für Privatleute? Was bedeutet es praktisch, wenn man jetzt trotzdem weiter WhatsApp nutzt? Und was ist dann mit Konkurrenzdiensten wie Threema, Telegram & Co?

Bevor wir einsteigen, muss ich ehrlicherweise vorwegschieben, dass ich selbst Jurist bin und obendrein lange Zeit bei einer der deutschen Aufsichtsbehörden für Datenschutz gearbeitet habe. Während meiner Zeit dort habe ich unter anderem auch das Thema WhatsApp im Einsatz durch Private und Unternehmen betreut. Ich schreibe hier also auch als (Ex-) Fachmann, werde aber versuchen, das juristische Kauderwelsch auf das Nötigste zu beschränken.

Was genau ist das Problem?

WhatsApp ist eine – Achtung, Breaking News – Chat-App und als solche übermittelt sie Nachrichten. Dazu muss die App natürlich wissen, an wen die Nachrichten gehen sollen. Während Dienste wie RIOT, Conversations oder die gute alte E-Mail es ermöglichen, dass im Grunde jedefrau und jedermann einen Server betreiben kann, um Nachrichten zu versenden und zu empfangen, verfolgen moderne Messenger oft einen zentralisierten Ansatz. So macht es auch WhatApp, das als einziges weiß, wer unter welcher Telefonnummer am System teilnimmt und erreichbar ist. Folglich kann auch nur WhatsApp eine WhatsApp-Nachricht zustellen.

Das Problem daran ist, dass neue WhatsApp-Nutzerinnen auch erst einmal beim zentralen WhatsApp-Server anfragen müssen, wer von den zahlreichen Freundinnen und Bekannten denn bereits bei WhatsApp aktiv ist. Dazu übermittelt die App vom Smartphone aus regelmäßig die Telefonnummern aller im Telefon gespeicherten Kontakte an WhatsApp. Und zwar auch jener Bekannten und Freundinnen, die WhatsApp überhaupt nicht nutzen. Der Vorteil: WhatsApp übernimmt die gesamte Nachrichtenzustellung und ich muss mir außer den ohnehin gespeicherten Telefonnummern nichts weiter merken. Der Nachteil: WhatsApp erfährt in schöner Regelmäßigkeit die Telefonnummern von vielen Menschen, die überhaupt nichts mit WhatsApp zu tun haben.

Rein rechtlich ist diese Weitergabe eine Übermittlung von Daten (Telefonnummern) an einen Dritten (WhatsApp), wofür es in Deutschland immer und (fast) ausnahmslos einer gesetzlichen Grundlage bedarf. So steht es in § 4 Bundesdatenschutzgesetz. Gibt es keine Rechtsgrundlage, die diese grundsätzlich verbotene Übermittlung zulässt, ist die Datenverarbeitung rechtswidrig. Im Falle der Nutzung von Messenger-Diensten wie WhatsApp kommt dabei oft nur die Einwilligung (§ 4a Bundesdatenschutzgesetz) in Betracht. Dass man aber von allen Personen in seinem digitalen Kontaktbuch die schriftliche Erlaubnis zur Weitergabe der Nummer an WhatsApp einholt, scheint natürlich eher unpraktikabel.

Die Kontrollfrage

Es gibt nun allerdings zwei entscheidende Vorfragen, die man klären muss, bevor man zu diesem Ergebnis kommen kann. Die erste ist die Frage nach der Kontrolle. Eine gesetzliche Erlaubnis brauchen nämlich nur die, die auch verantwortlich für die Datenübermittlung sind. Nicht wenige Fachleute bezweifeln jedoch, dass einzelne Nutzerinnen überhaupt verantwortlich für das sind, was WhatsApp mit den Daten im Telefon macht. Schließlich kann niemand von uns tatsächlich nachvollziehen, wann und wie und wohin die App die Telefonnummern genau übermittelt. Im Grunde beschränkt sich die Mitwirkung der Nutzerinnen ja darauf, dass sie sich die App auf das iPhone oder Android installieren, schnell alle Haken bei Nutzungs- und Datenschutzbedingungen setzen und dann eifrig loslegen.

Rechtlich hängt hier also alles an der datenschutzrechtlichen Verantwortlichkeit (§ 3 Abs. 7 Bundesdatenschutzgesetz), einem absoluten Reizthema der Szene. Ist der Betreiber eines Youtube-Kanals verantwortlich dafür, was Google mit den Daten der Abonnenten macht? Ist ein Unternehmen dafür verantwortlich, was mit den Daten der Mitarbeiterinnen bei der Benutzung von Slack passiert? Ist eine WhatsApp-Nutzerin dafür verantwortlich, was WhatsApp mit den Telefonnummern der Kontakte im Telefon macht?

Die Antwort darauf hängt von der Auslegung europarechtlicher Vorgaben ab, die festlegen, dass derjenige verantwortlich ist, der die Daten entweder selbst verarbeitet oder durch Dritte verarbeiten lässt und dabei die Zwecke und Mittel der Datenverarbeitung kontrolliert. Welches Maß an Zweck- und Mittelkontrolle aber im Einzelfall nötig ist, ist heillos umstritten und wird anlässlich des Betriebs einer Facebook-Seite gerade vor dem Gerichtshof der Europäischen Union geklärt. An dem Verfahren war ich selbst sehr lange beteiligt und habe meine Position bereits andernorts ausführlich zusammengefasst.

Über dieses Thema lässt sich in der Tat lange und ausgiebig diskutieren. Ich möchte es an dieser Stelle dabei belassen, dass ich es für eine Selbstverständlichkeit halte, dass derjenige, der sich für ein bestimmtes Kommunikationsmittel entscheidet und auf seinem Smartphone installiert auch dafür verantwortlich ist. Ob er die Daten selbst verarbeitet (etwa durch Betrieb eines eigenen Mailservers) oder durch Dritte verarbeiten lässt (Messenger-App), spielt meiner Meinung nach keine Rolle. In letzterem Fall müsste dann eben ein spezieller Auftragsdatenverarbeitungsvertrag zwischen Nutzerin und App-Anbieter geschlossen werden. Die kommende Datenschutz-Grundverordnung sähe auch die Möglichkeit vor, dass die Aufsichtsbehörden dafür Muster entwickeln. Wo einige nun absurde Bürokratie wittern, sehen andere eine Chance: So könnten Nutzer nämlich endlich auch bestimmen, was so eine Chat-App wann und wozu über einen selbst und das Kommunikationsumfeld verarbeiten soll.

Privatnutzung im digitalen Zeitalter

Kommt man also dazu, dass die Nutzerinnen und Nutzer von WhatsApp & Co dafür verantwortlich sind, was die von ihnen genutzte App mit den Daten von Freundinnen und Bekannten macht, gibt es noch eine zweite Hürde zu überwinden. Die Frage nämlich, ob Privatnutzerinnen überhaupt all diese strengen Vorgaben des Datenschutzrechts einhalten müssen. Kann es wirklich sein, dass Privatleute – zum Beispiel das Kind im Fall des Amtsgerichts Bad Hersfeld – gesetzlich genauso streng behandelt werden, wie ein Unternehmen, das einen Messenger für die Mitarbeiterkommunikation einsetzt?

Ursprünglich ging das Datenschutzrecht mal davon aus, dass das wohl in der Tat zu viel des Guten ist und hat dafür eine sogenannte Haushaltsausnahme geschaffen. Datenverarbeitungen, die rein privaten oder familiären Zwecken dienen, sollen demnach gar nicht erst vom Verarbeitungsverbot erfasst werden. In Deutschland steht das ganz am Anfang des Bundesdatenschutzgesetzes in § 1 Abs. 2 Nr. 3. Würden die private Nutzung von WhatsApp oder einer andere Chat-App unter diese Ausnahme fallen, wäre jedenfalls das strenge Datenschutzrecht kein Problem mehr. Fragen der Verantwortlichkeit, der Rechtsgrundlagen oder von Auftragsdatenverarbeitungsverträgen würden sich schlicht nicht mehr stellen. Das Amtsgericht Bad Hersfeld hat übrigens genau das angenommen und beschlossen, dass die WhatsApp-Nutzung nicht vom Datenschutzrecht erfasst sei. Das Kind nutze – so das Gericht -WhatsApp schließlich nicht geschäftlich, sondern agiere rein privat.

Das Problem an dieser Sichtweise ist allerdings, dass die Haushaltsausnahme aus den Anfängen der europäischen Datenschutzgesetzgebung stammt, also aus den beginnenden 1990er Jahren. In einer Zeit, als Windows 95 noch der Traum aller Nerds war, wollte man damit solche Datenverarbeitungen erleichtern, die allein unter häuslicher Kontrolle in privatem Umfeld stattfand. Die Floppy Disc in der Schreibtisch-Schublade oder die elektronisch geschriebenen Briefe auf der Festplatte erschienen derart durch private Nutzer beherrschbar, dass man dort kein Grund zur strengen Regulierung sah. Während das Datenschutzrecht nun die nächsten 20 Jahre auf diesem Niveau verharrte, tat es die Technik natürlich nicht.

Im Zeitalter des Internets kann kaum noch angenommen werden, dass die geschriebenen Texte im Internet genauso von Privaten beherrschbar sind, wie sie es einmal auf einer Diskette in der heimischen Schublade waren. Das mussten auch die Gerichte einsehen. Im berühmten Lindquist-Fall hatte (wieder) der Gerichtshof der Europäischen Union Anfang der 2000er darüber zu entscheiden, ob die Veröffentlichung von Informationen über ehrenamtliche Mitglieder einer Kirchengemeinde auf der (von außen allerdings für jeden erreichbaren) Intranet-Seite der Kirche als private Nutzung einzustufen war oder ob Frau Lindquist dadurch das schwedische Recht gebrochen hatte. Der Gerichtshof lehnte das im Fall Lindquist letztlich ab, weil eine private Nutzung offensichtlich nicht bei der Veröffentlichung von Daten im Internet vorliege. Diese Daten würden nämlich einer unbegrenzten Zahl von Personen zugänglich gemacht.

Mit Blick darauf, dass ein Kommunikationsnetz wie das von WhatsApp unweigerlich eine große Zahl an Admins, Technikern und sonstigem IT-Personals bedarf und dabei der gesamte Facebook-Konzern noch gar nicht mit betrachtet ist, tue ich mich auch sehr schwer damit, die WhatsApp-Nutzung noch im gleichen Maße der Haushaltsausnahme zuzurechnen. Beherrschbar ist die dadurch verursachte Datenverarbeitung kaum, jedenfalls nicht im gleichen Maße wie es die Erfinder der Haushaltsausnahme wohl einmal erdacht haben. Ich meine, dass es weniger darauf ankommen kann, zu welchen Zwecken moderne Technik genutzt wird, sondern vielmehr darauf, ob ich sie selbst noch kontrollieren kann. Mein häusliches NAS ohne Anbindung ans Internet würde ich deshalb eher als privilegiert ansehen als meine bei OneDrive gespeicherten Daten, unabhängig davon, dass auf beiden die gleichen privaten Partybilder gespeichert sind.

Was heißt überhaupt „illegal“?

Wirbel um WhatsApp ist natürlich immer für Klicks gut. Die üblichen Verdächtigen mit großer Reichweite und kleinem journalistischem Wert warfen dementsprechend sofort mit reihenweise Hysterie um sich. WhatsApp sei wieder einmal illegal und es drohe (Achtung, Reizwort) eine Abmahnwelle. Wenn juristische Laien von illegal reden, meinen Sie aber oft sehr verschiedene Dinge.

Man könnte die Nutzung schlicht als datenschutzrechtlich rechtswidrig ansehen, mit der Folge, dass einem die Datenschutzaufsicht untersagen könnte, WhatsApp zu nutzen. Damit ist kaum zu rechnen. Viele Datenschutzaufsichtsbehörden betonen bisher vor allem ihren Beratungsauftrag und sind nicht gerade als besonders umtriebig bekannt, was das Versenden von Verbotsverfügungen angeht. Auch der Leiter der für Facebook in Deutschland zuständigen Aufsichtsbehörde wird bereits mit den Worten zitiert, dass man kein Vorgehen gegen Privatnutzer plane.

Interessanter wird es, wenn man die Nutzung nicht nur als rechtswidrig, sondern bußgeldbewehrt einstuft. Nicht jeder Datenschutzverstoß ist automatisch eine Ordnungswidrigkeit. Der trotzdem recht üppige Katalog in § 43 Bundesdatenschutzgesetz ließe aber wohl Spielraum. Zuständig für die Ahndung von datenschutzrechtlichen Ordnungswidrigkeiten sind aber fast überall ebenfalls die bereits benannten Datenschutzaufsichtsbehörden, so dass man wohl eine ähnliche Mäßigung hinsichtlich der Verfolgung privater WhatsApp-Nutzer erwarten darf.

Schließlich wird jede Datenschutz-Ordnungswidrigkeit sogar zur Straftat gemäß § 44 Bundesdatenschutzgesetz, wenn man bei Tatbegehung z.B. bestimmte unredliche Motive hatte. Ob und wann diese vorliegen, ist mangels behördlicher oder gerichtlicher Erfahrung mit dem Straftatbestand jedoch unklar. Zuständig wären mit den Staatsanwaltschaften aber tendenziell härter durchgreifende Institutionen.

Abseits all dessen gibt es dann noch das Thema Abmahnung. Darauf weist schließlich auch das Amtsgericht im Ausgangsfall hin. Abseits aller datenschutzrechtlichen und strafrechtlichen Verstöße kann die ungefragte Weitergabe von Daten Dritter auch eine Verletzung von Persönlichkeitsrechten sein. Diese können unter Umständen zivilrechtlich abgemahnt werden, inklusive entsprechender Abmahngebühren. Vorher müssten aber im Einzelfall die Rechte der Whatsapp-Nutzerinnen mit den Rechten der Adressbuch-Freundinnen abgewogen werden. Über das Risiko entsprechender Abmahnungen streiten deshalb die Experten, einige sehen Grund zur Entspannung.

Und die anderen?

Wendet man das geltende Datenschutzrecht auf WhatsApp an, so spricht in der Tat vieles dafür, dass bei der Einhaltung des deutschen und europäischen Rechts etwas knirscht. Aber das ist kein Problem von WhatsApp allein. Selbst der von mir privat genutzte Threema-Messenger bietet die Option, zum Abgleich des lokalen Kontaktebuchs einmalig Daten auf den Threema-Server zu laden. Die werden laut der Threema-FAQ zwar mathematisch abstrahiert (Stichwort: Hashwert) und nur zum Abgleich ganz kurzfristig gespeichert. Rechtlich dürfte das aber wenig daran ändern, dass für diese kurze Zeit Daten zu Threema übermittelt werden. Auch ist das vorherige Hashen bei Telefonnummern wegen der überschaubaren Anzahl an Kombinationen so leicht rückrechenbar, dass selbst Threema die Daten konsequenter Weise schlicht als genauso sensibel wie Klardaten behandelt.

Egal ob Threema, Telegram, WhatsApp oder auch iMessage: Das Adressbuch-Problem dürfte grundsätzlich alle Messenger betreffen. Abhilfe würden nur grundlegend andere Kommunikationswege schaffen. Die oben schon angesprochenen RIOT und Conversations Apps setzen beispielsweise auf das Matrix- oder XMP-Protokoll. Statt die Verwaltung der Kontaktadressen einem Drittanbieter zu überlassen, kann ich dort (wie bei der E-Mail) selbst ein Kontaktbuch pflegen und Nachrichten versenden ohne irgendeinem Server meinen gesamten Kontaktebestand anvertrauen zu müssen. Auch könnte man sich vielleicht damit abfinden, WhatsApp-Nachrichten blind zu versenden. Ist eine Nummer nicht bei WhatsApp registriert, könnte das die App schlicht mit einer Fehlermeldung quittieren, wie es auch bei der klassischen E-Mail der Fall ist. Entscheidend ist: Der routinemäßige Vollabgleich ist nicht ohne Alternativen.

Das alles ist natürlich weit weniger komfortabel und wirkt ganz und gar nicht fortschrittlich. Aber ich hab den Beitrag ja auch nicht Adressbuch-Lösung, sondern Adressbuch-Problem genannt. In diesem Sinne freue ich mich auf hoffentlich zahlreiche (un-) juristische Kommentare.

See you in the comments!

Update (09.06.2018)

Fast ein Jahr nach meinem Blogbeitrag anlässlich der Entscheidung des hessischen Amtsgerichts ist ein Update nötig. Erstens, weil der Gerichtshof der Europäischen Union vergangene Woche die lange ersehnte Entscheidung zur Verantwortlichkeit in Sachen Facebook-Seiten gefällt hat und zweitens, weil die niedersächsische Aufsichtsbehörde sich kürzlich zur Nutzung von Whatsapp zur Rezeptbestellung bei Apotheken geäußert hat.

Passt das EuGH Urteil zu Whatsapp?

Zunächst zum EuGH-Urteil: Ich habe hier nicht den Platz, um alle Nuancen und Folgen des Urteils darzustellen. Für ein gründlichere Aufarbeitung des Urteils empfehle ich diesen Beitrag (englisch) und diesen Beitrag (deutsch). Ich will mich hier nur auf die oben im Blog aufgeworfene Frage beschränken, ob Nutzerinnen von Whatsapp dafür verantwortlich sind, was Whatsapp mit den Daten über sie selbst und ihre Kommunikationspartnerinnen macht. Ich hatte oben ja geschrieben, dass ich es für selbstverständlich halte, dass man für die genutzten technischen Hilfsmittel auch die Verantwortung übernimmt und meinte, dass das juristische Konstrukt der Auftragsdatenverarbeitung (auch im Verhältnis zwischen Nutzerin und Whatsapp) dafür eigentlich die sauberste Lösung wäre.

Hat der EuGH diese Frage nun beantwortet? Ja und Nein: Zwar hat der EuGH Betreiberinnen von Facebook-Seiten dafür verantwortlich erklärt, was Facebook mit den Daten der Besucherinnen der eigenen Seite macht, aber erstens hat er dafür nicht auf die Auftrags(daten)verarbeitung zurückgegriffen, sondern auf die gemeinsame Verantwortlichkeit. Und zweitens hat er dabei primär darauf abgestellt, dass Facebook den Seitenbetreiberinnen mit der Insights-Funktion einen Reichweitenanalysedienst bereitstellt. Zwar halte ich diese Betonung der Insights-Funktion im EuGH-Urteil nicht für überzeugend, aber so wie der EuGH es ausgeführt hat, passt seine Entscheidung jedenfalls nicht auf das Verhältnis zwischen Whatsapp und Nutzerinnen. Mein derzeitiger Standpunkt ist daher: Nein, aus dem EuGH-Urteil folgt nicht unmittelbar, dass Nutzerinnen dafür verantwortlich sind, was Whatsapp mit den Kommunikations(meta)daten anstellt.

Ich persönlich halte es aber weiterhin für vertretbar, hier über abspeckte Auftragsverhältnisse nachzudenken, die das Verhältnis zwischen Nutzerin und Kommunikationsdienst klar regeln. Mit der seit Kurzem geltenden Datenschutz-Grundverordnung sind da die Karten gerade im Bereich von Telekommunikationsdiensten auch neu gemischt worden. Geklärt ist die Frage aber noch lange nicht.

Whatsapp im Unternehmensumfeld?

In meinem Blogbeitrag ging es primär um die Nutzung von Whatsapp durch „private“ Einzelpersonen. Anlässlich einer aktuellen Stellungnahme der Niedersächsischen Datenschutzaufsicht und vor allem nach dem Hören des sehr launigen Podcasts von Datenschutzjurist Stephan Hansen-Oest zum gleichen Thema will ich meinen Beitrag aber kurz zu dem Thema ergänzen. Im Unternehmensumfeld ist zunächst einmal klar, dass das gesamte Thema „Haushaltsausnahme“ keine Rolle spielt. Kritisch bleibt aber das Thema Verantwortlichkeit (dazu soeben) und vor allem das Adressbuchproblem. Nur zu Letzterem will ich mich hier kurz äußern.

Nach meiner Ansicht ist jedenfalls das Adressbuchproblem im unternehmerischen Kontext lösbar, indem ein gesondertes „Whatsapp-Smartphone“ eingerichtet wird, in dessen Adressbuch einzig die Unternehmens-Mobilfunknummer hinterlegt ist, mit der man den Whatsapp-Kanal für Kunden etc. eröffnet. Ein Upload von Kundendaten aus dem Smartphone findet dann schlicht nicht statt und die ganze Frage nach der rechtlichen Grundlage für diesen Upload stellt sich nicht. Erstaunlicherweise geht die niedersächsiche Behörde in ihrer Stellungnahme darauf gar nicht ein und das obwohl meiner Erinnerung nach dieser „Isoliertes Whatsapp-Smartphone“-Ansatz auch in den Fachgremien der Aufsichtsbehörden als praktische Empfehlung vereinbart und gegenüber Unternehmen in Beratungen empfohlen wurde.

Ich persönlich würde trotzdem klar davon abraten, den Whatsapp-Kanal zu eröffnen bzw. ihn selbst als Kunde auch nicht nutzen. Aus Unternehmenssicht ist es meiner Einschätzung nach nur eine Frage der Zeit, bis ein wesentlicher Baustein der Whatsapp-Nutzung (das Privacy Shield, das die Datenübermittlung in die USA erlaubt) vor dem EuGH scheitert und aus Nutzersicht will ich Whatsapp (und mittelbar Facebook) keinesfalls offenbaren, mit welchen Unternehmen ich so kommuniziere. Denn nur zur Erinnerung: Der Inhalt meiner Kommunikation via Whatsapp ist zwar verschlüsselt. Die Informationen darüber, wann ich mit wem via Whatsapp kommuniziere hingegen nicht.

Bis zum nächsten Update 😉

Update (06.01.2019)

Da derzeit – auch wegen des #BTLeaks – wieder die Diskussion um den Adressbuch-Upload und Kontakte-Sync aufkommt, wollte ich doch noch einmal auf den Podcast hinweisen, den Journalist Marcus Richter und Rechtsanwalt Thomas Schwenke von der Rechtsbelehrung mit mir im Juli 2018 aufgenommen haben.

Darin diskutieren wir ausführlich alle möglichen Fragen rund um das Thema private Nutzung von Whatsapp, mögliche Sanktionen für den Adressbuch-Upload und der insgesamt unklaren Rechtslage rund um Messenger.