Datenschutzbeauftragter

Bundesbehörden sollen kein WhatsApp nutzen

Der oberste Datenschützer des Bundes hält den Einsatz von WhatsApp für Bundesbehörden für ausgeschlossen. Wer auf die grüne App zurückgreife, habe es verpasst, bessere Alternativen zu finden. Wir veröffentlichen das Rundschreiben.

WhatsApp
WhatsApp: Auf vielen Diensthandys das Mittel der ersten Wahl Gemeinfrei-ähnlich freigegeben durch unsplash.com Allie

Der Bundesdatenschutzbeauftragte Ulrich Kelber erinnert die deutschen Bundesbehörden daran, dass die Datenschutzgesetze auch in der Corona-Pandemie gelten. „Aus gegebenem Anlass möchte ich darauf hinweisen, dass der Einsatz von WhatsApp für eine Bundesbehörde ausgeschlossen ist“, heißt es in einem Rundschreiben Kelbers an alle Bundesministerien und oberste Bundesbehörden.

WhatsApp gehört zu Facebook. Der verschlüsselte Messengerdienst wird von rund zwei Milliarden Menschen auf der Welt regelmäßig genutzt, allerdings steht der Dienst wegen der Weitergabe von Metadaten an den Mutterkonzern seit längerem in der Kritik. Der Bundesdatenschutzbeauftragte hatte WhatsApp zuletzt wiederholt systematische Verstöße gegen die EU-Datenschutzgrundverordnung vorgeworfen.

Kelber bekräftigt die Kritik in seinem Schreiben. „Allein durch die Versendung von Nachrichten werden jedes Mal Metadaten an WhatsApp zugeliefert. Es ist davon auszugehen, dass diese dann unmittelbar an Facebook weitergegeben werden“, schreibt der Bundesdatenschutzbeauftragte. Das Rundschreiben datiert auf den 14. April. Darüber berichtete zuerst PC-Welt, wir veröffentlichen das Schreiben nun im Volltext.

Der Facebook-Konzern bestreitet, Daten an Facebook zu übermitteln. „WhatsApp gibt keine Metadaten an Facebook weiter, um Facebook-Profile zu erstellen oder Facebook-Produkte oder -Werbung anderweitig zu verbessern“, schrieb ein WhatsApp-Sprecher an netzpolitik.org.

Bundeswehr nutzt Matrix

In vielen Behörden wird derzeit über sichere und datenschutzfreundliche Messengerdienste nachgedacht, um bessere Alternativen zu WhatsApp zu finden. Die Coronakrise beschleunigt das. Die Bundeswehr testet seit April auf zehntausenden Diensthandys den Open-Source-Messenger Matrix für vertrauliche Kommunikation. Die EU-Kommission empfiehlt ihren Beschäftigten, den als besonders sicher geltenden Dienst Signal zu verwenden.

Der Bundesdatenschutzbeauftragte betont, er verstehe das Bedürfnis der Bundesbehörden, zeitnah und unmittelbar zu kommunizieren. „Wenn hierzu aber auf WhatsApp zurückgegriffen wird, zeigt dies in erster Linie, dass bislang verabsäumt wurde einen datenschutzfreundlichen Dienst zu etablieren“, schreibt Kelber. Grundsätzlich sei vor dem Einsatz neuer Dienste stets die Vereinbarkeit mit dem Datenschutz zu prüfen.

Ein Problem, das Kelber nicht direkt anspricht, ist dass viel informelle dienstliche Kommunikation innerhalb von Behörden über Messengerdienste abläuft. In der Praxis sind privat und dienstlich unter Kollegen oft nicht sauber getrennt – daher ist die Verwendung von WhatsApp für die Behördenkommunikation nur durch explizite Verbote und klare Alternativen zu verhindern.

Ein solches Verbot spricht Kelber bislang nicht aus, wie seine Behörde auf Anfrage von netzpolitik.org betont. Auch wenn der Bundesdatenschutzbeauftragte die Verwendung von WhatsApp für nicht mit der DSGVO vereinbar hält, stehe eine endgültige Entscheidungen in einem EU-weiten Verfahren gegen WhatsApp durch die  federführende Datenschutzaufsichtsbehörde in Irland stünden noch aus, betonte ein Sprecher.

Aus Sicht des Bundesdatenschutzbeauftragten liegt der Ball nun bei den Ministerien. Kelber „erwartet von den Bundesbehörden das Angebot datenschutzfreundlicher Alternativen zu WhatsApp“, heißt es aus seinem Büro.

Update vom 14. Mai 2020: Die Stellungnahme von WhatsApp im 4. Absatz wurde nach dem Erscheinen des Artikels hinzugefügt.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

11 Ergänzungen
  1. Sollte Grundwissen sein:

    „AG Bad Hersfeld Familiengericht
    Entscheidungsdatum: 20.03.2017
    Aktenzeichen: F 111/17 EASO
    Normen: § 1666 BGB, § 823 BGB, § 1004 BGB, § 828 BGB, § 832 BGB … mehr
    familiengerichtlicher Beschluss (Sorgerecht)

    Leitsatz
    Überlassen Eltern ihrem minderjährigen Kind ein digitales ’smartes‘ Gerät (z.B. Smartphone) zur dauernden eigenen Nutzung, so stehen sie in der Pflicht, die Nutzung dieses Geräts durch das Kind bis zu dessen Volljährigkeit ordentlich zu begleiten und zu beaufsichtigen.

    Verfügen die Eltern selbst bislang nicht über hinreichende Kenntnisse von ’smarter‘ Technik und über die Welt der digitalen Medien, so haben sie sich die erforderlichen Kenntnisse unmittelbar und kontinuierlich anzueignen, um ihre Pflicht zur Begleitung und Aufsicht durchgehend ordentlich erfüllen zu können.

    Wer den Messenger-Dienst „WhatsApp“ nutzt, übermittelt nach den technischen Vorgaben des Dienstes fortlaufend Daten in Klardaten-Form von allen in dem eigenen Smartphone-Adressbuch eingetragenen Kontaktpersonen an das hinter dem Dienst stehende Unternehmen.

    Wer durch seine Nutzung von „WhatsApp“ diese andauernde Datenweitergabe zulässt, ohne zuvor von seinen Kontaktpersonen aus dem eigenen Telefon-Adressbuch hierfür jeweils eine Erlaubnis eingeholt zu haben, begeht gegenüber diesen Personen eine deliktische Handlung und begibt sich in die Gefahr, von den betroffenen Personen kostenpflichtig abgemahnt zu werden.

    Nutzen Kinder oder Jugendliche unter 18 Jahren den Messenger-Dienst „WhatsApp“, trifft die Eltern als Sorgeberechtigte die Pflicht, ihr Kind auch im Hinblick auf diese Gefahr bei der Nutzung des Messenger-Dienstes aufzuklären und die erforderlichen Schutzmaßnahmen im Sinne ihres Kindes zu treffen.“

    Quelle:
    https://www.lareda.hessenrecht.hessen.de/jportal/recherche3doc/AG_Bad_Hersfeld_Familiengericht_F_120-17_EASO_LARE190000030.pdf?json=%7B%22format%22%3A%22pdf%22%2C%22docPart%22%3A%22L%22%2C%22docId%22%3A%22LARE190000030%22%2C%22portalId%22%3A%22bshe%22%7D&_=%2FAG_Bad_Hersfeld_Familiengericht_F_120-17_EASO_LARE190000030.pdf

  2. Zu den Lehrern: zumindest in BW hat das Kultusministerium nach 7 Jahren unwirksamer „Handreichung“ (2013) nun endlich seit Ende April allen Schulen und Lehrern die Lizenzen für Threema Work besorgt und somit eine Alternative zu WA direkt zur Verfügung gestellt:
    https://km-bw.de/,Lde/Startseite/Service/2020+04+27++Messengerdienst+unterstuetzt+Lehrerinnen+und+Lehrer

    Damit kann man gegen die Nutzung von WA seitens der Schule/Lehrer auch direkt in einer Diskussion begegnen und eine Umstellung einfordern.

  3. Eine positive Nachricht, die vom Prinzip her hoffen lässt. Aber es gibt einen Haken: Jeder der an sich guten Messenger (Signal, Threema, Telegram, Wire, Briar usw.) hat einen massiven Haken, der letztendlich zu einer Deanonymisierung führen kann, weil – zwar teilweise mit technischem Aufwand, aber immerhin – ein Angriffspunkt existiert. Das reicht vom Zwang zur Angabe einer Telefonnummer über „kein Open-Source-Code“ bis hin zum nicht verschlüsselten Backup oder gar Servern ausgerechnet in den USA.. Webseiten wie mobilsicher.de oder der kuketz-blog bieten (tabellarische) Vergleichsmöglichkeiten und zeigen sachkundig Kritikpunkte auf. Bisher habe ich aber keinen Messenger gefunden, der wirklich ALLE sicherheitsrelevanten Punkte so beachtet, dass er als wirklich sicher gelten kann. Das macht die Entscheidungsfindung nicht nur für Privatleute, sondern auch für Behörden und Politiker nicht einfach.

    1. Bitte? Wieso sollte die Tatsache, daß der Code von Threema nicht öffentlich ist, zu einer Deanonymisierung führen? Das ist doch Quatsch! (Und gerade bei Threema ist man anonym, weil die keine Telephonnummer verlangen.)

    2. Naja, Politiker und Co können sich ihre Kommunikation auf Endgeräten auch selbst maßschneidern lassen. Kostet halt nur ein paar Tausende und es kommt Software zum Einsatz die für „Normalsterbliche“ unerreichbar ist. Und wenn alle Stricke reißen… war da nicht mal was mit Rohrpost im Kanzleramt?

      „Sichere“ Kommunikation wenn man so will ist wichtiger für Bürger, aber wie man überall sieht ist das nicht erwünscht. Umso unverständlicher ist es dass einige Firmen ihren Sitz in diversen Gefährderländern weiterbetreiben wie die USA und sämtliche 14, 5 und 9 Eyes Staaten…

      Wie war das mit Frau Barley? Angriff auf die Demokratie wenn es um eigene Daten geht und im Gegenzug passiert was? Die paar wenigen u.a. auch Herr Kelber und der damit verbundene werden dafür in ihrer Befugnis soweit eingeschränkt dass es schon witzlos ist.

  4. M.E. wäre eine einfach umzusetzende, datenschutzkonforme Möglichkeit der Einsatz von Delta Chat (https://delta.chat/de/).
    Sämtliche Behörden und Schulen und Kommunen betreiben ohnehin schon eigene E- Mailserver für einen sicheren E-Mailverkehr. Es muss also kein weiterer Server (z.B Matrix oder XMPP) aufgesetzt und gewartet werden.
    Damit wäre es einfach, entweder die ohnehin vorhandenen Mailadressen auch für Delta Chat zu nutzen. Oder wenn man es ganz toll machen möchte richtet man für jeden Mitarbeiter eine separate „Chatadresse“ (z.B. reguläreAdresse.chat@behörde.de) ein.

    Es gibt für alle wichtigen Plattformen native Clients.
    Und die einzelnen Clients können jeweils sogar völlig unabhängig voneinander genutzt werden, sind aber dennoch immer synchron.

    Also eine gute und sichere und vor allem einfache Lösung wie ich finde.

  5. Robert aus Wien: Da muss man vorausdenken. Der nicht-öffentliche Code muss zwar nicht per se zur Deanonymisierung führen.
    Aber: Ein quelloffener, sprich öffentlicher Code ist viel leicher durch Fachleute zu kontrollieren (Stichwort „Sicherheitsaudit“). Jede (verdächtige) Änderung ist sofort nachvollziehbar. Das heisst, es ist für Instanzen, die die Unternehmen/Entwickler (heimlich) zu Hintertüren und damit zu Deanonymisierung zwingen wollen, sehr viel schwieriger, dies umzusetzen. Dass Threema keine Telefonnummer verlangt, ist natürlich zu begrüßen.

  6. Ich hätte doch insgesamt einen besseren Überblick unseres Datenschutzbeautragten erwartet.
    Da wird wieder, rein politisch initiiert, jede Menge Zeit verbrannt…
    Auf Länder- und Bundesebene werden längst DSVGO-konforme WhatsApp-Pendanten genutzten, mit allem was der Bundesdatenschutzbeauftragte sich so wünscht; Ende-zu-Ende-Verschlüsselung auf allen Ebenen mit 256 bzw. 4096 Bit, PIN-Code-Locker, Datenhaltung auf deutschen Servern, ohne Beteiligung der einschlägigen Global-Player… alles auf Basis des HighSecure Messenger „Stashcat“, made in Germany.
    Das Rad muß nicht neu erfunden werden, gerade erst hat diese Technolgie mit der „schul.cloud“ große Teile unseres „HomeSchooling“ erst möglich gemacht, ganz ohne Microsoft, Facebook …, und alles aus/in Deutschland.
    Ein kompetent ergänzender Hinweis an die „nachdenkenden“ Bundesbehörden/Ministerien wäre da wohl sinnvoll gewesen, damit diese nicht noch Jahre den Wald vor lauter Bäumen nicht sehen.
    R. Lambertz

  7. Ich kann nur hoffen, dass nicht nur WA verbannt wird, sondern auch Facebook (na sowas, WA gehört ja zu Facebook) endlich nicht mehr von Behörden und Öffentlich Rechtlichen Medien verwendet werden darf.
    Das sind keine soziale sondern kommerzielle Netzwerkdienste und die zahlen noch immer nicht ausreichend Steuern.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.