Immer wieder erhalte ich Anfragen von Unternehmen, welche Messenger-App datenschutzrechtlich im geschäftlichen Bereich empfehlenswert sei, weil sie für deren Mängel mithaften. Da es zwar viele Artikel zu mehr oder weniger aktuellen technischen Aspekten, aber kaum solche mit konkreten datenschutzrechtlichen Bewertungen gibt oder die Techniker das Recht zu wenig verstehen oder umgekehrt Rechtsanwälte die Technik, hier ein kleiner Überblick, die ich mit einem Informatiker erstellt habe. Zusammenfassung: Ich empfehle Threema Work oder Matrix.

Übrigens: Unternehmen sollten auch unabhängig von Datenschutzfragen ein Interesse am Schutz ihrer Geschäftsgeheimnisse haben und unsichere Messenger meiden. Dies gilt umso mehr angesichts des neuen Geschäftsgeheimnisgesetzes (GeschGehG). Dieses schützt Geschäftsgeheimnisse rechtlich nur noch, wenn das Unternehmen auch faktisch Maßnahmen zu ihrem Schutz ergriffen hat (vgl. Oberlandesgericht Stuttgart, Urt. v. 19.11.2020 – 2 U 575/19).

(Stand: Februar 2021)

Die Facebook-Anwendung WhatsApp ist zwar (insgesamt) am weitesten verbreitet und benutzerfreundlich. Sie leidet aber an einer Reihe von Rechtsverstößen. Unter anderem werden bei WhatsApp personenbezogene Daten in die Vereinigten Staaten übermittelt. Nach der Rechtsprechung des Europäischen Gerichtshofs in der Rechtssache Schrems II (Az. C-311/18) ist das wegen des mangelhaften Datenschutz- und Rechtsschutzniveaus in der Regel nicht mehr zulässig. Dorthin werden auch die eigene Rufnummer und das Adressbuch – in dem auch Nicht-WhatsApp-Nutzer enthalten sein können – ungefragt übermittelt und WhatsApp vermengt seine Daten zunehmend mit dem Datenbestand anderer Facebook-Konzerngesellschaften. Forschern der TU Darmstadt ist es bereits gelungen, Telefonnummern und weitere Daten von Whatsapp-, Signal- und Telegram-Nutzern auszulesen.

Gerne wird darauf verwiesen, durch die Ende-zu-Ende-Verschlüsselung könne WhatsApp nicht abgehört werden, der verwendete Algorithmus sei sicher. Doch WhatsApp legt seinen Quellcode nicht offen, sodass dies niemand unabhängig überprüfen kann. Obwohl die Risiken solcher Blackbox-Software gerade in sensiblen Bereichen seit vielen Jahren bekannt sind, wandelt sich das Bewusstsein nur langsam. Wenn WhatsApp behördlich zum Abhören gewungen wird und die technischen Möglichkeiten bestehen, wird WhatsApp sie nutzen müssen. Selbst wenn man unterstellt, der Algorithmus sei sicher, finden sich in der Praxis ohnehin Schwächen weniger dort, sondern vielmehr in dessen Einbau, der sogenannten Implementation. Bildlich gesprochen: Die beste standardisierte Sicherheitstür nützt nichts, wenn ihr individueller Einbau unsauber erfolgt und die umliegende Mauer morsch ist.

Selbst wenn man all das blind als sicher annehmen mag, erfasst die Verschlüsselung jedenfalls keine Verbindungsdaten (wer, wann, mit wem), seit den Enthüllungen Edward Snowdens auch oft Metadaten genannt. Verbindungsdaten sind aber nicht weniger aussagekräftig als Inhaltsdaten, wie der Europäische Gerichtshof (Rechtssache Tele 2, Az. C-203/15 u. a.) im Zusammenhang mit der schwedischen Vorratsdatenspeicherungen bestätigt hat. Auch bei ihnen handelt es sich natürlich um personenbezogene Daten, die nicht ohne Weiteres in unsichere Drittländer übermittelt werden dürfen. Dass WhatsApp zentrale Server verwendet, bei denen alle Daten zusammenlaufen, trägt strukturell nicht zur Abhörsicherheit bei.

Übrigens ist die geschäftliche Nutzung von WhatsApp auch nach den eigenen allgemeinen Geschäftsbedingungen von WhatsApp verboten.

Einen guten Kompromiss zwischen Datenschutz, Bedienerfreundlichkeit und Verbreitung bietet Threema Work für Unternehmen, beziehungsweise Threema für Privatpersonen. Das Programm beherrscht Ende-zu-Ende-Verschlüsselung sowie Videochats und Anrufe mit Peer-to-peer-Technik, das heißt, Video- und Audiodaten fließen, wo möglich, nicht über die Threema-Server.

Im Übrigen werden die Nutzerdaten lediglich in die Schweiz übermittelt. Deren Datenschutzniveau ist zwar meines Erachtens angesichts Vorratsdatenspeicherung und nachrichtendienstlicher Massenüberwachung weitgehend ein Mythos, bisher wurde es aber noch nicht durch den Europäischen Gerichtshof für unzureichend erklärt. Und Max Schrems dürfte sich zunächst andere Ställe des Augias vornehmen. Die Übermittlungen der Rufnummer und des Adressbuchs an Threema sind freiwillig. Die App enthält auch keine sogenannten Tracker, die das Nutzerverhalten zu Marketingzwecken ausspähen und verkaufen, dafür ist die Anwendung kostenpflichtig.

Der Programmcode von Threema ist zumindest teilweise veröffentlicht, sodass neutral überprüfbar ist, ob die Sicherheitsversprechen des Anbieters eingehalten werden. Der IT-Sicherheitsexperte Mike Kuketz weist auf das Risiko hin, dass der übrige Code Lücken beinhalten könne und es sich nach wie vor um eine zentralistische Silo-Infrastruktur handele, Threema also nur mit sich selbst kompatibel sei. Das ist kritikwürdig, verstößt aber nicht ohne Weiteres gegen die DS-GVO. Threema Work gibt Unternehmen die Möglichkeit, eine nach der DS-GVO erforderliche Vereinbarung zur Auftragsvereinbarung abzuschließen, die weitere Einzelheiten zur Datenverarbeitung regelt.

Threema ist auch nicht zwingend auf die zentralen Push-Dienste von Google (Android) und Apple (iOS) angewiesen, die im Hintergrund Apps über eingegangene Nachrichten und Aktualisierungen informieren. Diese Dienste übermitteln nämlich – oft übersehen – ihrerseits unzulässig Daten in die Vereinigten Staaten, wenn auch keine Inhalte von Threema-Nachrichten. Dadurch kommt Threema auch für Nutzer in Frage, die „ent-applete“ und „ent-googlete“ Betriebssysteme wie CalyxOS auf ihren mobilen Geräten ohne die Push-Dienste der genannten Hersteller verwenden möchten.

Noch sicherer und datenschutzfreundlicher sind Apps, die auf das offene Netzwerk Matrix aufsetzen, wie das kostenlose, aber etwas „nerdigere“ Element. Seine Verbreitung ist derzeit die wohl geringste der hier vorgestellten Messenger. Es wird keine Telefonnummer benötigt, es wird kein Adressbuch ausgelesen und die Datenströme werden ebenfalls Ende-zu-Ende-verschlüsselt. Audio- und Video-Calls sind möglich. Die App, die es auch als Desktop-Version gibt, enthält keine Tracker, die das Nutzerverhalten ausspähen. Da Matrix ein offener Standard ist, lässt sich das Netzwerk mit verschiedenen, zueinander kompatiblen Clients verwenden, die im Prinzip jeder entwickeln kann. Man stelle sich vor, Telefonkunden der Deutschen Telekom könnten keine Kunden von Telefónica anrufen oder E-Mails von GMX-Adressen könnten nur zu GMX-Adressen versandt werden, weil die Netze nicht zueinander kompatibel sind – bei WhatsApp, Signal, Threema & Co. ist das Standard und wird kraft Gruppenzwang akzeptiert.

Bei Matrix kann sogar jeder seinen eigenen Server betreiben und seine Kommunikation über diesen leiten, was nicht zuletzt für Unternehmen interessant ist. Denn zentralistische Server wie bei WhatsApp & Co. sind generell anfällig für Ausfälle, Missbrauch, Überwachung und Zensur. Eine Ende-zu-Ende-Verschlüsselung hilft hiergegen nur bedingt, weil sie Verbindungsdaten (wer, wann, mit wem) in der Regel nicht erfasst. Wie sowohl das Bundesverfassungsgericht als auch der Europäische Gerichtshof (etwa Rechtssache Tele 2, Az. C-203/15 u. a.) im Zusammenhang mit verschiedenen Vorratsdatenspeicherungen entschieden haben, sind Verbindungsdaten nicht weniger aussagekräftig als Inhaltsdaten. Bei eigenem Server erübrigt sich auch die bei Threema erforderliche Vereinbarung zur Auftragsverarbeitung gemäß der DS-GVO, um externe Anbieter rechtlich „an die Leine zu nehmen“. Auch wer keinen eigenen Server betreiben möchte, kann zwischen verschiedenen deutschen und anderen Servern wählen. Das ist auch nötig, denn meiner letzten Prüfung zufolge befindet sich der voreingestellte Server, Vector.im, bei Cloudflare in den Vereinigten Staaten. Das Netzwerk Matrix wird auch von französischen und deutschen Bundesbehörden verwendet.

Als Scheinalternative erweist sich Signal. Zwar ist der Programmcode transparent, es kommt starke Verschlüsselung zum Einsatz und die Verbreitung ist größer als bei Threema. Nutzerdaten werden aber unzulässig in die Vereinigten Staaten übermittelt, ebenso die eigene Telefonnummer. Warum die Ende-zu-Ende-Verschlüsselung hiergegen wenig hilft, habe ich bei Elements/Matrix beschrieben. Forschern der TU Darmstadt ist es gelungen, Telefonnummern und weitere Daten von Signal-Nutzern auszulesen.

Der verbreitete Dienst wurde damals bekannt, als der Whistleblower Edward Snowden ihn empfahl; durch die zwischenzeitliche Rechtsprechung des Europäischen Gerichtshofs in der Rechtssache Schrems II, die natürlich auch für „bloße“ Verbindungsdaten gilt, ist das aber obsolet.

Kaum datenschutzrechtliche Verbesserung bringt auch Telegram. Hier fließen unzulässig Daten an Server im Vereinigten Königreich, das vielfach vom Europäischen Gerichtshof für Menschenrechte und vom Europäischen Gerichtshof (zuletzt in der Rechtssache Privacy International, Az. C‑623/17) wegen systematischer Datenschutzverstöße gerügt wurde und inzwischen offiziell aus der Europäischen Union ausgeschieden ist. Das Vereinigte Königreich ist seit langer Zeit Mitglied der Five Eyes Alliance, deren Nachrichtendienste eine besonders aggressive Massenüberwachung betreiben und erspähte Daten untereinander austauschen. Für den Betreiber Telegrams mag der Standort eine Verbesserung gegenüber seiner ursprünglichen Heimat Russland darstellen, wo er unter Druck des FSB geraten war; den Maßstäben der DS-GVO genügt das aber nicht.

Wie die Computerzeitschrift c’t aufdeckte, ist außerdem die Verschlüsselung von Telegram lückenhaft und der Anbieter schneidet Chatverläufe im Klartext mit. Das ist unzulässig.

Forschern der TU Darmstadt ist es gelungen, Telefonnummern und weitere Daten von Telegram-Nutzern auszulesen.

Wer die Details verschiedener Messenger miteinander vergleichen möchte, dem empfehle ich Mike Kuketz‘ Messenger-Matrix. Seine technischen Bewertungen stimmen zumeist, wenn auch nicht immer, mit den rechtlichen überein.