WhatsApp, Telegram & Co: Welche ChatApps Sie aus Datenschutzsicht benutzen sollten
WhatsApp und Telegram teilen ein gemeinsames Schicksal in letzter Zeit, und zwar: schlechte Schlagzeilen. WhatsApp wegen der geplanten Änderungen der Nutzungsbedingungen und der damit einhergehenden umfangreicheren Weitergabe von Daten an Facebook. Telegram wiederum wird häufiger in Zusammenhang mit Verschwörungstheoretiker:innen gebracht, wenn diese ihre Meinung über Telegram verbreiten. Kritik hagelt es aber auch immer mal wieder in Sachen Datenschutz; denn beide Messenger-Dienste weisen in der Beziehung Lücken auf.
Welche diese sind und welche zwei alternativen Messenger-Dienste den Datenschutz besser gewährleisten, erfahren Sie in diesem Blogartikel.
WhatsApp, Telegram, Threema und Signal im Datenschutzvergleich
Anmeldung: Die Anmeldung bei WhatsApp erfolgt mit der Telefonnummer.
Verschlüsselung: Die Inhalte der Chats (auch Gruppenchats) sowie die Statusmeldungen und Anrufe sind Ende-zu-Ende verschlüsselt. Ende-zu-Ende-Verschlüsselung bedeutet, dass nur die miteinander kommunizierenden Personen Zugriff auf die Inhalte der Kommunikation haben. WhatsApp kann daher z. B. grundsätzlich die Chats nicht mitlesen oder Anrufe mithören. Allerdings werden nicht die Metadaten der Kommunikation Ende-zu-Ende verschlüsselt, sodass WhatsApp davon Kenntnis haben kann, wer, wann und mit wem etc. kommuniziert hat.
Server-Standort: Außerhalb der EU; hauptsächlich USA.
Abgleich Adressbuch: WhatsApp gleicht bei einer Anmeldung automatisch das lokale Adressbuch der User mit der eigenen Datenbank ab. Zum Abgleich werden auch die Daten von Personen im Adressbuch der User erfasst, die kein WhatsApp nutzen. Eine Einwilligung dieser Personen wird nicht eingeholt. Aufgrund der Beziehungen zum Mutterkonzern Facebook können auch diese Daten an Facebook weitergeleitet werden. WhatsApp kann nur ohne Einschränkungen genutzt werden, wenn der Zugriff auf das eigene Adressbuch erlaubt wird.
Datenschutzerklärung: Die Datenschutzerklärung gibt es auch auf Deutsch. Grundsätzlich schreibt die DS-GVO nicht vor, in welcher Sprache die Datenschutzerklärung verfasst sein muss. Allerdings muss die Datenschutzerklärung für die betroffenen Personen unter anderem leicht verständlich sein, Art. 12 Abs. 1 DS-GVO. Die Verständlichkeit hängt auch maßgeblich davon ab, ob die Personen sprachlich in der Lage sind zu verstehen, was in der Datenschutzerklärung beschrieben wird. Zusätzlich spielt auch eine Rolle, an wen (Kundschaft in welchem Land) sich das entsprechende Angebot richtet, sodass eine Übersetzung der Datenschutzerklärung in die entsprechende Landessprache erfolgen sollte.
Kosten: WhatsApp ist kostenlos. Die Nutzungsbedingungen von WhatsApp sind grundsätzlich jedoch darauf angelegt, dass die Daten auch an Facebook weitergegeben und zum Zwecke für personalisierte Werbung genutzt werden dürfen.
DS-GVO konform: WhatsApp ist nicht DS-GVO konform. Zu den vorgenannten Punkten kommt hinzu, dass WhatsApp als US-amerikanisches Unternehmen dem CLOUD-Act unterliegt. Das bedeutet, dass die US-Behörden gesetzlich berechtigt sind, auf die Daten von WhatsApp zuzugreifen.
Telegram
Anmeldung: Die Anmeldung bei Telegram erfolgt mit der Telefonnummer und der Angabe des Vornamens, welcher jedoch nicht überprüft wird. Die Sichtbarkeit der Telefonnummer kann für andere User ausgeschlossen werden.
Verschlüsselung: Die Form der Verschlüsselung ist abhängig von den genutzten Chat-Funktionen. Bei Cloud-Chats erfolgt nur eine Transportverschlüsselung, das heißt, dass die Nachrichten auf ihrem Weg zum Server und vom Server zur empfangenden Person zurück verschlüsselt sind, auf den Servern unter Umständen jedoch unverschlüsselt gespeichert werden. Ist dies der Fall, kann Telegram theoretisch auf die gespeicherten Daten auf den Servern zugreifen und jegliche Inhalte etc. der Chats nachverfolgen.
Eine Ende-zu-Ende-Verschlüsselung kann bei den Secret-Chats („Einzelchats“) erfolgen. Die Ende-zu-Ende-Verschlüsselung muss aber erst durch die User aktiviert werden. Gruppenchats wiederum werden nicht Ende-zu-Ende verschlüsselt.
Server-Standort: Außerhalb der EU; wo genau, ist unbekannt.
Abgleich Adressbuch: Ein automatischer Abgleich des Adressbuchs mit der Datenbank von Telegram findet nicht statt, sofern nicht die Funktion der Kontaktsynchronisation aktiviert ist. Wenn diese eingestellt ist, werden die Telefonnummer sowie Vor- und Nachname der im Adressbuch vorhandenen Personen gespeichert.
Datenschutzerklärung: Es gibt keine Datenschutzerklärung auf Deutsch.
Kosten: Telegram ist kostenlos.
DS-GVO konform: Telegram ist nicht DS-GVO konform.
Threema
Anmeldung: Die Anmeldung bei Threema kann unterschiedlich erfolgen. Grundsätzlich ist nicht die Angabe der eigenen Telefonnummer, E-Mail-Adresse und/oder des Namens erforderlich. Threema kann anonym genutzt werden, indem die Möglichkeit besteht, dass zur Nutzung eine zufällige Threema-ID generiert wird. Threema lässt sich daher auch ohne die Angabe von personenbezogenen Daten nutzen und ist auch von der Konzeption her darauf angelegt. Auf Wunsch kann die Anmeldung auch z. B. per Telefonnummer erfolgen. Diese wird dann verschlüsselt gespeichert.
Verschlüsselung: Jegliche Inhalte sind Ende-zu-Ende verschlüsselt.
Server-Standort: Schweiz. Threema betreibt die Server selbst.
Abgleich Adressbuch: Ein Abgleich der Daten aus dem Adressbuch der User findet zwar statt, jedoch werden die Daten nicht dauerhaft gespeichert. Der Abgleich ist nicht erforderlich, um Threema nutzen zu können.
Datenschutzerklärung: Die Datenschutzerklärung gibt es auf Deutsch.
Kosten: Threema kostet einmalig 3,99 Euro. Threema finanziert sich nicht durch Werbung oder Tracking, sondern über die Nutzungsgebühr.
DS-GVO konform: Threema ist DS-GVO konform.
Signal
Anmeldung: Die Anmeldung bei Signal erfolgt mit der Telefonnummer und einem Usernamen; der Username muss nicht dem richtigen Namen entsprechen und kann auch ein Pseudonym oder anderes sein.
Verschlüsselung: Jegliche Inhalte sind Ende-zu-Ende verschlüsselt.
Server-Standort: Außerhalb der EU; hauptsächlich USA.
Abgleich Adressbuch: Ein Abgleich ist nicht erforderlich, um Signal nutzen zu können.
Datenschutzerklärung: Es gibt keine Datenschutzerklärung auf Deutsch.
Kosten: Signal ist kostenlos. Es findet keine Werbung und/oder Tracking statt. Signal ist eine unabhängige, gemeinnützige Organisation; finanziert sich über Spenden.
Quellcode: Der Quellcode ist unter GitHub einsehbar.
DS-GVO konform: Signal ist nicht DS-GVO konform, weil es als US-amerikanisches Unternehmen dem CLOUD Act unterliegt.